Epic Turla (snake/Uroburos) 攻击

病毒定义

病毒类型：高级持续性威胁 (APT)

什么是 Epic Turla？

Turla 又称 Snake 或 Uroburos，是当下最复杂的网络间谍活动之一。卡巴斯基实验室对该活动的最新研究表明，Epic 是 Turla 受害者感染机制的初始阶段。

“Epic”的目标包括下列类别：政府实体（内政部、商贸部、外交部、情报局）、大使馆、军方、研究与教育机构以及制药公司。

大多数受害者都位于中东和欧洲，但我们也观察到了包括美国等其他地域的受害者。卡巴斯基实验室专家总计统计到了分布在超过 45 个国家和地区的数百名受害者 IP，其中法国在受害名单中高居首位。

已检测到的攻击可以根据用于感染受害者的初始感染向量分为几个不同类别：

• 利用 Adobe PDF 漏洞的鱼叉式网络钓鱼电子邮件 (CVE-2013-3346 + CVE-2013-5065)
• 诱骗用户运行扩展名为“.SCR”、且有时会使用 RAR 压缩包形式的恶意软件安装程序的社会工程
• 利用 Java 漏洞 (CVE-2012-1723)、Adobe Flash 漏洞（未知）或 Internet Explorer 6、7、8 的漏洞（未知）的水坑式攻击
• 依靠社会工程诱骗用户运行假冒“Flash Player”的恶意软件安装程序的水坑式攻击

威胁详情

攻击者会使用直接的鱼叉式网络钓鱼电子邮件和水坑式攻击这两种方式来感染受害者。“水坑”都是潜在受害者经常访问的网站。这些网站事先被攻击者入侵并植入恶意代码。根据访问者的 IP 地址（例如，某个政府机构的 IP），攻击者会选择是采用 Java 或浏览器漏洞利用、签名的假冒 Adobe Flash Player 软件还是假冒版的 Microsoft Security Essentials 来发起攻击。

我们观察到的受感染网站总计已超过 100 个。对这些网站的选择反映出了攻击者的特定兴趣。例如，许多受感染的西班牙网站都属于地方政府。

用户一旦受到感染，Epic 后门就会立即连接到命令和控制 (C&C) 服务器，以发送一个包含受害者系统信息的数据包。该后门也被称为“WorldCupSec”、“TadjMakhal”、“Wipbot”或“Tadvig”。

系统遭到入侵后，攻击者就会收到来自受害者的简短摘要信息，并基于这些信息来提供包含一系列执行命令的预配置批处理文件。除此之外，攻击者还会上传定制的内网漫游工具。这些工具中包括专门的键盘记录器工具、RAR archiver 压缩解压工具以及来自 Microsoft 的 DNS 查询工具等标准工具。

如何判断我是否受到了 Epic Turla 的感染？

判断您是否已成为 Epic Turla 受害者的最佳方法，是确认是否遭到了入侵。通过卡巴斯基实验室的解决方案等强大的反病毒产品，可以识别出这些威胁。

卡巴斯基实验室的产品将会检测以下 Epic Turla 模块：

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

如何保护自己免受 Epic Turla 的侵害

• 保持及时更新操作系统及所有第三方应用程序，尤其是 Java、Microsoft Office 以及 Adobe Reader
• 不要从不可信的来源安装软件，例如随机页面弹出的提示
• 警惕来自未知来源、且包含可疑附件或链接的电子邮件

应始终启用安全解决方案并激活其所有组件。该解决方案的数据库也应保持及时更新

与恶意软件威胁相关的其他文章和链接

• Onion 勒索软件（加密木马）
• Crouching Yeti 恶意软件威胁
• 卡巴斯基安全软件