Neue Backdoor von Turla: Carbon Malware

Die Turla E-Spionage-Gruppe ist dafür bekannt, verschiedene Institutionen seit geraumer Zeit zu attackieren. Jetzt haben ESETs Malware Analysten eine neue Version der Second Stage Backdoor Carbon entdeckt, welches zur Grundausrüstung der Turla-Gruppe gehört. Im letzten Jahr untersuchte bereits die Schweizer GovCERT.ch Carbon-Angriffe auf das Schweizerische, staatliche Verteidigungsunternehmen RUAG Holding AG. Dieser Blogbeitrag behandelt die technischen Neuerungen der neusten Carbon-Version, die von ESET nun aufgedeckt wurden.

Weg der Kompromittierung

Die Mitglieder der Turla-Gruppe arbeiten sehr umsichtig und in Etappen. Über die Arbeitsumgebung potenzieller Opfer wird sich von Beginn an genau informiert, bevor ausgefeilte Tools wie Carbon zum Einsatz kommen.

Die klassische Kompromittierung mit Carbon beginnt mit dem Empfangen einer Spear-Phishing-E-Mail oder dem Besuchen einer vorher kompromittierten Webseite, die normalerweise häufiger aufgesucht wird (Watering-Hole-Attack).

Nach einer erfolgreichen Attacke wird die First Stage Backdoor „Tavdig“ auf dem Computer des Opfers installiert. Sobald die Aufklärungsphase vorüber ist, implementieren die Cracker dann die Second Stage Backdoor Carbon.

Globale Architektur – Der Aufbau der Carbon Malware

Zusammengefasst setzt sich das Carbon Framework aus folgenden Komponenten zusammen:

• Ein Dropper installiert die Carbon-Komponenten und die Konfigurationsdatei
• Ein Loader Implementiert die Bedienung
• Eine Orchestrierung koordiniert die verschiedenen Aufgaben, leitet sie an andere Computer im Netzwerk weiter und injiziert dynamische Programmbibliotheken (DLLs), damit die Kommunikation mit dem C&C-Server stattfinden kann.
• Eine Komponente für die C&C-Kommunikation

Die Konfigurationsdatei der Carbon Malware

Die Konfigurationsdatei beeinflusst das Verhalten der Malware. Das Dateiformat ist dem Windows .inf-Format sehr ähnlich. Unter anderem beinhaltet die Malware-Konfigurationsdatei:

• Eine „object_id“, die eine einzigartige uuid für die Identifizierung der Opfer darstellt
• Eine Liste von Prozessen in denen Code implementiert werden soll (iproc)
• Die Häufigkeit und Zeit für die Ausführung einer Aufgabe / Backup Logs / Verbindungen zum C&C-Server [TIME]
• Die IP-Adresse anderer Computer im Netzwerk [CW_LOCAL]
• Die C&C-Server-Adresse [CW_INET]
• Die Names Pipes, welche für die Kommunikation mit der eingebetteten Programmbibliothek und anderen Computern verantwortlich sind [TRANSPORT]

Die Konfigurationsdatei wird unter Umständen zu einem späteren Zeitpunkt aktualisiert.

Carbon 3.77 Konfigurationsdatei

[NAME]
object_id=
iproc =
iexplore.exe,outlook.exe,msimn.exe,firefox.exe,opera.exe
chrome.exeex = #,netscape.exe,mozilla.exe,adobeupdater.exe,chrome.exe

[TIME]
user_winmin = 1800000
user_winmax = 3600000
sys_winmin = 3600000
sys_winmax = 3700000
task_min = 20000
task_max = 30000
checkmin = 60000
checkmax = 70000
logmin = 60000
logmax = 120000
lastconnect=111
timestop=
active_con = 900000
time2task=3600000

[CW_LOCAL]
quantity = 0

[CW_INET]
quantity = 3
address1 = doctorshand.org:80:/wp-content/about/
address2 = www.lasac.eu:80:/credit_payment/url/
address3 = www.shoppingexpert.it:80:/wp-content/gallery/

[TRANSPORT]
system_pipe = comnap
spstatus = yes
adaptable = no

[DHCP]
server = 135

[LOG]
logperiod = 7200

[WORKDATA]
run_task=
run_task_system=

Der Dropper

Der Dropper ist die einzige ausführbare Datei, die keine DLL ist. Außerdem ist es der allererste binäre Code, der ausgeführt wird. Er extrahiert die anderen Komponenten von ihren Ressourcen.

Die Binärdateien, die zum Laden der Hauptkomponenten erforderlich sind, werden in das Windows System-Verzeichnis installiert. Die Orchestrierung, die Bibliotheken und die Konfigurationsdatei landen in der Arbeitsumgebung von Carbon.

In eine willkürliche „.inf“-Datei aus dem %SystemRoot%\INF-Verzeichnis hängt die Malware einen neuen Abschnitt an. Der Name entspricht der Datenträger-Seriennummer des kompromittierten Systems. Außerdem wird der Wert „root“ mit der gewählten Arbeitsumgebung von Carbon geschaffen.

[5049654F]

root="C:\Program Files\Windows Portable Devices"

Der Loader

Diese Komponente braucht es, um die Orchestrierung zu initiieren.

Es wird ein Dienst bereitgestellt, der die Persistenz von Carbon gewährleistet. Dieser kann unter den Namen "srservice", "ipvpn" or „hkmsvc“ auftauchen. Das hängt davon ab, welches Betriebssystem auf dem Computer des Opfers läuft.

Der Loader durchsucht den gesamten „%windir%\inf“-Ordner nach der Datei, die den Carbon Basispfad enthält. Dadurch findet er die Arbeitsumgebung von Carbon.

Schließlich ruft der Loader die Funktion „ModuleStart“ (in Carbon 3.71) bzw. „ModStart“ (seit Carbon 3.77) für die Orchestrierung auf.

Orchestrierung

Die Orchestrierung ist ein Hauptbestandteil der Carbon Arbeitsumgebung. Sie wird dafür verwendet, Code in einen über das Internet kommunizierenden Prozess einzubinden und dazu, Aufgaben von den dynamischen Programmbibliotheken an andere Computer im Netzwerk durch Named Pipes oder TCP zu senden.

Kommunikation mit dem C&C Server

Der Code dieses Prozesses wird verwendet, um neue Aufgaben vom C&C-Server abzurufen und neue Dateien an den Server zu senden (die Dateien sind in "C_56743.NLS" / "dsntype.gif" aufgeführt). Außerdem werden neue Aufgaben an die Orchestrierung übermittelt.

Bevor überhaupt eine Kommunikation mit dem C&C-Server oder mit anderen Computern im Netzwerk stattfindet, überprüft die Malware das kompromittierte System auf Sniffer bzw. Netzwerkanalyse-Tools wie:

• TCPdump
• windump
• ethereal
• wireshark
• ettercap
• snoop
• dsniff

Wenn einer dieser Prozesse läuft, wird keine Kommunikation initiiert.

Erste Anfrage

Zunächst wird eine zufällige C&C-Serveradresse aus dem Abschnitt [CW_INET] der Konfigurationsdatei ausgewählt. Wenn der Port- und der HTTP-Ressourcenpfad nicht angegeben sind, ist der Standardwert für den Port 80 und "/javascript/view.php". Dann stellt die Malware den User-Agent fest.

Das Feld "trans_timemax" aus dem Abschnitt [TIME] wird abgerufen. Es wird verwendet, um das Timeout für Internet-Anfragen (über InternetSetOption()) festzulegen. Standartmäßig ist ein Timeout von 10 Minuten eingestellt.

Eine erste GET-Anfrage wird auf der Root-Seite des C&C-Servers durchgeführt. Die Malware überprüft, ob der Host noch zu erreichen ist. Wenn kein Netzwerkanalyse-Tool auf dem kompromittierten System läuft, wird eine neue Anforderung an den C&C-Server gestellt. Der Anfrage wird ein "PHPSESSID"-Cookie mit der Opfer-uuid hinzugefügt – genauso wie der Header "Referer", der auf die C&C-Server URL zeigt.

Auf die GET-Anfrage erwartet die Malware eine Antwort der folgenden Art:

<input name="%name%" value="%data_in_b64%">

Beinhaltet das Feld „value“ etwas, steht eine neue Aufgabe für den kompromittierten Rechner zur Verfügung.

Datensenden an den C&C-Server

Die obige Darstellung erläutert die Vorgehensweise, wie Daten an den C&C-Server gesendet werden.

Dieser Beitrag ist nur eine kleine Zusammenfassung der neu entdeckten Malware-Version Carbon. Wer gerne tiefer in die Materie eindringen möchte, sollte sich unbedingt das Whitepaper „Carbon“ von ESET ansehen.

Carbon Malware Footprint