Crutch – Die nächste Turla Backdoor | WeLiveSecurity

Crutch – Die nächste Turla Backdoor

ESET-Forscher haben eine neue Backdoor der APT-Gruppe Turla in einem europäischen Außenministerium entdeckt. Die Malware nutzt den Cloud-Dienst Dropbox, um gesammelte Regierungsdokumente zu stehlen

ESET-Forscher haben eine neue Backdoor der APT-Gruppe Turla in einem europäischen Außenministerium entdeckt. Die Malware nutzt den Cloud-Dienst Dropbox, um gesammelte Regierungsdokumente zu stehlen

ESET-Forscher haben eine neue Entdeckung gemacht – eine zuvor undokumentierte Backdoor und Dokumenten-Stealer. Wir schreiben die von ihren Entwicklern Crutch genannte Malware der berüchtigten Turla APT-Gruppe zu. Sie wurde, laut unseren Erkenntnissen, von 2015 bis mindestens Anfang 2020 verwendet. Die Tatsache, dass wir Crutch im Netzwerk eines Außenministeriums innerhalb der Europäischen Union gesehen haben, deutet darauf hin, dass diese Malware-Familie nur gegen sehr spezifische Ziele eingesetzt wird. Dies gilt für viele Turla-Werkzeuge.

Turla ist eine Cyberspionagegruppe, die seit mehr als zehn Jahren aktiv ist. Sie hat viele Regierungen, insbesondere deren diplomatische Organisationen, auf der ganzen Welt kompromittiert und nutzt ein großes Malware-Arsenal, das wir in den letzten Jahren beschrieben haben.

Zuschreibung an Turla

Während unseren Nachforschungen konnten wir starke Verbindungen zwischen einem Crutch-Dropper aus dem Jahr 2016 und Gazer identifizieren. Letzteres, war die zweite Stufe einer Backdoor, die von Turla in den Jahren 2016 bis 2017 verwendet wurde und unter dem Namen WhiteBear bekannt ist. Unsere Analyse basiert auf dem Crutch Dropper mit SHA-1 A010D5449D29A1916827FDB443E3C84C405CB2A5 und der Gazer-Dropper mit SHA-1 1AE4775EFF21FB59708E8C2B55967CD24840C8D9.

Wir konnten die folgenden Ähnlichkeiten feststellen:

  • Beide Malware-Samples wurden im September 2017 im Abstand von fünf Tagen unter dem Pfad C:\Intel\~intel_upd.exe auf demselben Computer abgelegt.
  • Beide Samples droppen CAB-Dateien, die die verschiedenen Malware-Komponenten enthalten.
  • Die von den genannten Samples gedroppten Loader, verwenden eindeutig verwandte PDB-Pfade:
    C:\Users\user\Documents\Visual Studio 2012\Projects\MemoryStarter\Release\Extractor.pdb and C:\Users\user\Documents\Visual Studio 2012\Projects\MemoryStarter\x64\Release\Extractor.pdb
  • Die Loader entschlüsseln ihre Payload mit demselben RC4-Schlüssel: E8 8E 77 7E C7 80 8E E7 CE CE CE C6 C6 CE C6 68

Angesichts dieser Beispiele und der Tatsache, dass die Turla Malware-Familien, soweit bekannt, nicht mit anderen Gruppen geteilt werden, glauben wir, dass Crutch eine Malware-Familie innerhalb des Turla-Arsenals ist.

Eine weitere interessante Beobachtung ist das gleichzeitige Vorhandensein von FatDuke und Crutch auf einer Maschine. Ersteres ist eine Backdoor der dritten Stufe, die wir in unserem Operation Ghost-Bericht der Gruppe Dukes/APT29 zugeschrieben haben. Es gibt jedoch keine Hinweise auf eine Interaktion zwischen diesen beiden Malware-Familien. Es ist möglich, dass beide Gruppen unabhängig voneinander dieselbe Maschine kompromittiert haben.

Spionageaktivitäten

Laut ESET LiveGrid®-Daten verwendete Turla das Crutch-Toolset gegen mehrere Maschinen des Außenministeriums eines europäischen Landes. Die Tools wurden dazu entwickelt, um vertrauliche Dokumente und andere Dateien auf von Turla-Betreibern kontrollierte Dropbox-Konten zu exfiltrieren.

Wir waren in der Lage einige der Befehle abzufangen, die von den Betreibern an mehrere Crutch v3-Instanzen gesendet wurden. Dies ist hilfreich, um das Ziel der Operation zu verstehen. Die Angreifer betrieben hauptsächlich Aufklärung, breiteten sich im Netzwerk aus und spionierten.

Die hauptsächlichen Aktivitäten sind das Staging sowie das Komprimieren und Exfiltrieren von Dokumenten und verschiedenen Dateien, wie in Abbildung 1 dargestellt. Hierbei handelt es sich um Befehle, die von den Betreibern manuell ausgeführt werden. Sie zeigen nicht die in einem späteren Abschnitt beschriebene automatische Erfassung von Dokumenten durch die Laufwerksüberwachungskomponente.

Die Exfiltration wird durch einen anderen Backdoor-Befehl ausgeführt und ist daher in den folgenden Beispielen nicht dargestellt.

Abbildung 1. Manuelle Befehle, die von den Bedienern während der Spionagephase ausgeführt werden

Schließlich haben die Betreiber auch einen gewissen Sinn für Humor. Irgendwann führten sie den folgenden Befehl aus:

Arbeitszeiten der Betreiber

Um eine ungefähre Vorstellung von den Arbeitszeiten der Betreiber zu bekommen, haben wir uns die Zeiten abgesehen, an denen sie ZIP-Dateien auf die von ihnen betriebenen Dropbox-Konten hochgeladen haben. Diese ZIP-Dateien enthalten Befehle für die Backdoor und werden von den Betreibern in die Dropbox hochgeladen, unabhängig von den Zeiten, zu denen die Backdoor ihren Inhalt liest und ausführt. Diese sollten also zeigen, wann die Betreiber arbeiten und nicht, wann die Maschinen des Opfers aktiv sind.

Wir haben 506 verschiedene Zeitstempel gesammelt, die von Oktober 2018 bis Juli 2019 reichen. Sie sind in Abbildung 2 dargestellt.

Abbildung 2. Arbeitszeiten der Crutch-Betreiber basierend auf den Uploads in Dropbox

In Anbetracht des Diagramms arbeiten die Bediener wahrscheinlich in der Zeitzone UTC+3.

Kompromittierung und Auslieferung der Malware

Wir glauben, dass Crutch keine Backdoor der ersten Stufe ist und erst bereitgestellt wird, nachdem die Betreiber das Netzwerk eines Unternehmens das erste Mal kompromittiert haben.

Die erste Methode besteht in der Verwendung eines Implantats der ersten Stufe wie Skipper. Im Jahr 2017 beobachteten wir, dass Crutch einige Monate nach der Kompromittierung des Computers durch Skipper eingesetzt wurde. Danach haben die Malware-Betreiber auch andere Computer im lokalen Netzwerk kompromittiert, indem sie sich seitlich ausbreiteten.

Die zweite Methode, die wir gesehen haben, basiert auf der Verwendung von PowerShell Empire. Wir konnten nicht feststellen, wie das schädliche Skript auf den Computer gekommen ist, aber wir glauben, dass dafür ein anderes Implantat verantwortlich ist. Ein Phishing-Dokument kann allerdings auch nicht ausgeschlossen werden. Es ist zu erwähnen, dass die PowerShell Empire-Skripte OneDrive und Dropbox verwendeten.

Crutch, Version 1 bis 3

Von 2015 bis Mitte 2019 verwendete die Malware-Architektur eine Backdoor, die mit Dropbox kommunizierte, und einen Laufwerksmonitor ohne Netzwerkfunktionen.

Abbildung 3 zeigt die Architektur von Crutch Version 3. Sie enthält eine Backdoor, die über die offizielle HTTP-API mit einem fest codierten Dropbox-Konto kommuniziert. Sie kann grundlegende Befehle ausführen, wie das Lesen und Schreiben von Dateien oder das Ausführen zusätzlicher Prozesse. Persistenz erreicht sie über DLL-Hijacking in Chrome, Firefox oder OneDrive. In einigen Varianten gab es Reserve-C&C-Server, die GitHub oder eine herkömmliche Domain verwendeten.

Die zweite wichtige Binärdatei dient zur Überwachung von Wechseldatenträgern. Sie sucht nach Dateien mit interessanten Erweiterungen (.pdf, .rtf, .doc, .docx) und stellt diese anschließend in einem verschlüsselten Archiv bereit.

Abbildung 3. Architektur von Crutch v3

Crutch, Version 4

Im Juli 2019 haben wir eine neue Version von Crutch gefunden. Wir kennen zwar nicht die Versionsnummer des Entwicklers, aber wir glauben, dass sie sich so weit entwickelt hat, dass sie als Version 4 bezeichnet werden kann. Diese neue Version ist eine aktualisierte Version der Überwachung von Wechseldatenträgern mit Netzwerkfunktionen.

Abbildung 4 zeigt die Architektur von Crutch v4. Der Hauptunterschied besteht darin, dass Backdoor-Befehle nicht mehr unterstützt werden. Auf der anderen Seite werden die auf lokalen und wechselbaren Datenträgern gefundenen Dateien mithilfe der Windows-Version von Wget automatisch zu Dropbox hochgeladen.

Abbildung 4. Architektur von Crutch v4

Das Arbeitsverzeichnis dieser Version 4 lautet C:\Intel, wobei die folgenden Komponenten gefunden werden:

  • outllib.dll: Die Crutch-DLL
  • finder.exe: Der echte Outlook Item Finder von Microsoft Outlook (SHA-1: 830EE9E6A1BB7588AA8526D94D2D9A2B491A49FA)
  • resources.dll: Echte DLL, die eine Abhängigkeit von finder.exe darstellt (SHA-1: 31D82C554ABAB3DD8917D058C2A46509272668C3)
  • outlook.dat: Crutch-Konfigurationsdatei. Sie enthält das Dropbox-API-Token.
  • ihlp.exe: Das echte RAR-Dienstprogramm (SHA-1: A92C801F491485F6E27B7EF6E52E02B461DBCFAA)
  • msget.exe: Eine saubere Version des Wget-Dienstprogramms für Windows (SHA-1: 457B1CD985ED07BAFFD8C66FF40E9C1B6DA93753)

Wie Crutch v3 nutzt Version 4 DLL-Hijacking um auf dem Opfer-System Persistenz zu erreichen. In diesem Fall handelt es sich bei der Hostanwendung jedoch um eine alte Microsoft Outlook-Komponente, die von den Bedienern auf dem gefährdeten System abgelegt wird.

Fazit

In den letzten Jahren konnten wir mehrere von Turla betriebene Malware-Familien öffentlich dokumentieren. Crutch zeigt, dass es der Gruppe nicht an neuen oder derzeit nicht dokumentierten Backdoors mangelt und dass die Turla-Gruppe über beträchtliche Ressourcen verfügt, um ein so großes und vielfältiges Arsenal zu betreiben.

Crutch kann einige Sicherheitsebenen umgehen, indem es die legitime Infrastruktur – hier Dropbox – missbraucht, um sich in den normalen Netzwerkverkehr einzufügen, gestohlene Dokumente zu filtern und Befehle von seinen Betreibern zu erhalten.

Kompromissindikatoren finden Sie auch auf GitHub. Wenn Sie Fragen haben oder Muster zu diesem Thema einreichen möchten, wenden Sie sich unter folgender Adresse an: threatintel@eset.com.

Indicators of Compromise

Hashes

SHA-1DescriptionESET detection name
A010D5449D29A1916827FDB443E3C84C405CB2A5Crutch dropper similar to GazerWin64/Agent.VX
2FABCF0FCE7F733F45E73B432F413E564B92D651Crutch v3 backdoor (packed)Win32/Agent.TQL
A4AFF23B9A58B598524A71F09AA67994083A9C83Crutch v3 backdoor (unpacked)Win32/Agent.TQL
778AA3A58F5C76E537B5FE287912CC53469A6078Crutch v4Win32/Agent.SVE

Paths

Crutch working directories

  • C:\Intel\
  • C:\AMD\Temp\

Filenames

  • C:\Intel\outllib.dll
  • C:\Intel\lang.nls
  • C:\Intel\~intel_upd.exe
  • C:\Intel\~csrss.exe
  • C:\Program Files (x86)\Google\Chrome\Application\dwmapi.dll
  • C:\Program Files (x86)\Mozilla Firefox\rasadhlp.dll
  • %LOCALAPPDATA%\Microsoft\OneDrive\dwmapi.dll

Network

  • hotspot.accesscam[.]org
  • highcolumn.webredirect[.]org
  • ethdns.mywire[.]org
  • theguardian.webredirect[.]org
  • https://raw.githubusercontent[.]com/ksRD18pro/ksRD18/master/ntk.tmp

MITRE ATT&CK techniques

Note: This table was built using version 7 of the MITRE ATT&CK framework.

TacticIDNameDescription
Initial AccessT1078.003Valid Accounts: Local AccountsCrutch operators abused local accounts that have the same password across the victim’s network. This was used when compromising additional machines in the network, the initial breach is unknown.
PersistenceT1053.005Scheduled Task/Job: Scheduled TaskCrutch v4 persists using a Windows scheduled task.
T1574.001Hijack Execution Flow: DLL Search Order HijackingCrutch v3 persists by doing DLL search order hijacking on Google Chrome, Mozilla Firefox or Microsoft OneDrive.
Defense EvasionT1036.004Masquerading: Masquerade Task or ServiceCrutch v4 persists using a scheduled task that impersonates the Outlook item finder.
T1120Peripheral Device DiscoveryCrutch monitors when a removable drive is plugged into the compromised machine.
T1025Data from Removable MediaCrutch monitors removable drives and exfiltrates files matching a given extension list.
T1074.001Data Staged: Local Data StagingThe Crutch v3 removable-drive monitor stages the stolen files in the C:\AMD\Temp directory.
T1119Automated CollectionCrutch automatically monitors removable drives in a loop and copies interesting files.
T1560.001Archive Collected Data: Archive via UtilityCrutch uses the WinRAR utility to compress and encrypt stolen files.
T1008Fallback ChannelsCrutch v3 uses a hardcoded GitHub repository as a fallback channel.
T1071.001Application Layer Protocol: Web ProtocolsThe network protocol of Crutch uses the official Dropbox API over HTTP.
T1102.002Web Service: Bidirectional CommunicationCrutch uses Dropbox to download commands and to upload stolen data.
ExfiltrationT1020Automated ExfiltrationCrutch v4 automatically exfiltrates the stolen files to Dropbox.
T1041Exfiltration Over C2 ChannelCrutch exfiltrates data using the primary C&C channel (Dropbox HTTP API).
T1567.002Exfiltration Over Web Service: Exfiltration to Cloud StorageCrutch exfiltrates stolen data to Dropbox.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren