Snake/Turla e-mail plugin

A Nemzeti Kibervédelmi Intézet tájékoztatót ad ki a Snake és Turla csoportokhoz köthető kártékony e-mail kiegészítők (plugin) új variánsáról.

A célzott támadás (APT) külföldi kormányzati szervezetek ellen zajlik. A kártékony kód (DLL állomány) fizikailag nem található meg a fertőzött számítógépen, mert csak a memóriában áll össze (a gép indulásakor). Számítógépenként egyediek a bejegyzések a Windows operációs rendszer regisztrációs adatbázisában, továbbá a káros kód által összegyűjtött információkat is egyedi helyen tárolja a meghajtón. A káros kód e-mail-ek PDF csatolmányából kapja az utasításokat a C&C vezérlő szervertől.

A kártékony e-mail plugin kiolvassa és kikulcsolja a PDF állományban tárolt parancsokat, majd futtatja a cmd.exe vagy powershell segítségével. A plugin az eredeti levelet visszaküldve kommunikál a támadóval. A végpontvédelmi rendszerek is képesek megtalálni a memóriában összeálló kódokat, továbbá következő Snort szabályok detektálják a kártékony PDF állományokat.

alert tcp any any -> any any (msg:”Snake Container in PDF”;
flow:established; content:”%PDF-1.”; content:”|FF D8 FF|”;
content:”|00 00|”; distance:688; within:2; content:”|de 00|”;
distance:2; within:2; content:”|00 00|”; distance:6; within:2;
content:”|fa 00|”; distance:2; within:2;sid:;)

alert tcp any any -> any any (msg:”outgoing Snake Container in PDF”;
flow:established; content:”%PDF-1.”; content:”|FF D8 FF|”;
content:”|00 00|”; distance:688; within:2; content:”|de 00|”;
distance:2; within:2; content:”|00 00|”; distance:6; within:2;
content:”|da ce|”; distance:2; within:2;sid:;)