LightNeuron与俄罗斯黑客组织Turla有关联

随着操作系统安全性的提升，rootkit的使用近年来逐渐减少。因此，恶意软件开发者尤其是监控组织的恶意软件开发者忙于开发新的隐秘的恶意软件。

近期，ESET研究人员发现俄罗斯黑客组织Turla（又名Snake）使用了一个复杂的后门——LightNeuron。该后门从2014年开始就不断攻击Microsoft Exchange邮件服务器，虽然没有发现Linux样本，但是根据Windows版本中的代码段，研究人员相信有Linux变种存在。

受害者分布

研究人员在分析过程中发现了至少3个不同的受害者组织，如图1所示。

图1 – 已知的LightNeuron受害者分布

其中两个受害者组织是外交部和地区外交事务组织，与近期分析的Turla活动一致。

根据上传到VirusTotal的样本分析，研究人员发现还有受害者位于巴西。

Turla与LightNeuron的关系

研究人员有充分证据相信LightNeuron背后的运营者是Turla。下面是分析过程中收集的一些代码：

· 在一个被黑的exchange服务器上：

– 一个含有之前属于Turla的恶意软件的PowerShell脚本在安装LightNeuron前44分钟被释放了;

– 脚本位于C:\windows\system32。 

· 安装LightNeuron的脚本名为msinp.ps1，这也符合Turla的文件命名规则。

· LightNeuron释放的另一个被黑的服务器是IntelliAdmin，这个远程管理工具是Turla使用的打包器。

· 对每个LightNeuron攻击，在相同的网络上都有多个Turla恶意软件的实例。

· 攻击者使用的邮箱地址都是在GMX上注册的，并伪装成目标组织的雇员。GMX也是Outlook后门和PowerShell后门PowerStallion的提供商。

在之前的一封APT趋势报告中，Kaspersky研究人员也认为LightNeuron与Turla黑客组织有关联。中国菜刀

运营者活动

在分析被黑的资产时，研究人员又追踪到攻击者的活动。尤其是可以映射出运营者的工作时间，这是通过被黑的Exchange服务器接收含有后门命令的邮件的时间来确定的。

研究人员分析认为运营者所在的工作时区为UTC +3，工作时间为9到5点，如图2所示。

图2 – LightNeuron运营者的工作时间

但研究人员发现2018年12月28日到2019年1月14日之间攻击者是没有活动的，而之前攻击者每周都会发送多封邮件。这段时间刚好是东正教圣诞节假期，虽然不足以证明具有强关联，但可以认为具有一定的联系。

主要特征

LightNeuron是第一款攻击Microsoft Exchange邮件服务器的恶意软件，使用了一项之前没见到过的驻留技术——Transport Agent。在邮件服务器架构中，它运行的信任等级与安全产品相同，比如垃圾邮件过滤器。图3总结了LightNeuron的运作过程。

图3 – LightNeuron Transport Agent

通过使用Transport Agent，LightNeuron可以：

· 读取和修改经过邮件服务器的所有邮件

· 创建和发送新的邮件

· 拦截任意邮件，使原来的接收者无法接收邮件。

有一个XML规则集完成了这些功能，如图4所示：天空彩

图4 – XML规则文件

规则中的邮件地址对每个受害者是定制的，以尽可能攻击最感兴趣的目标。

在规则的最后，LightNeuron实现了一个handler列表。规则中使用这些函数来处理邮件，表1中共有11个不同的handler名。

表1 –DLL中实现的handler描述

后门

command handler与执行邮件修改的handler是不同的，它实际上是邮件控制的后门，命令使用隐写术隐藏在PDF或JPG附件中。

攻击者只需要发送一个含有特定伪造格式的PDF/JPG文档的邮件到被黑的组织的邮件地址中就可以。使用表2中的命令可以完全控制Exchange服务器。

表2 – 指令代码

邮件识别为命令邮件后，命令会执行，邮件就会直接被Exchange服务器拦截。整个过程是秘密进行的，原始接收者无法看到它。

隐写术

LightNeuron使用隐写术来将命令隐藏在PDF附件或JPG图像中。这样，即使邮件被检测到，也看似是合法的，因为含有一个有效的附件。

如果隐藏在PDF文件中，命令数据可以在文档的任意位置。LightNeuron运营者在PDF的开头添加了首部来指定数据所在位置的偏移量，如图5所示。

图5 –含有LightNeuron命令容器的PDF的十六进制表示

数据块用AES-256解密后，得到的结构如图6所示：

图6 – 解密的命令容器

下面介绍其中的一些域：

· Offset 0x08, 命令发送的邮件地址

· Offset 0x1D, 指令代码。与前面介绍的函数对应

· Offset 0x25,第一个参数，会传递给指令代码表示的函数

如果有含有命令容器、嵌入了JPG或PDF的邮件发送给LightNeuron控制的服务器，Microsoft Exchange服务器上就会执行一个计算器。

清除

LightNeuron的清除并不容易。移除这两个恶意文件会破坏Microsoft Exchange ，用户无法接收和发送邮件。在移除文件前，应当首先禁用恶意Transport Agent。研究人员建议清除时参见白皮书的细节。

结论

LightNeuron是俄罗斯黑客组织Turla的重要工具之一，通过使用之前从未见过的驻留机制——Microsoft Exchange Transport Agent，LightNeuron可以使其运营者绕过AV和其他安全产品的检测。允许其窃取敏感信息，并通过C2机制来控制其他本地计算机。

更多详情参见白皮书https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf