逆向[Turla组织TinyTurla-NG]last chance

前言

工作需要,对该威胁分析进行逆向,并提取出流量特征,这里对过程进行简单的记录

Turla组织TinyTurla-NG

  • TinyTurla-NG新后门与TinyTurla后门的植入方式相同,均是以服务DLL的形式出现,并且均是通过svchost.exe启动,因此先尝试对TinyTurla-NG新后门的运行场景进行复现;
  • TinyTurla-NG新后门的功能代码较TinyTurla后门复杂一些,通过对TinyTurla-NG新后门开展逆向分析工作,对其样本功能及运行逻辑进行详细剖析梳理;
  • 通过动态调试,研究分析TinyTurla-NG新后门的通信模型;
  • 尝试构建TinyTurla-NG新后门C&C站点,模拟复现TinyTurla-NG新后门的远程控制行为及恶意流量。

样本功能分析

TinyTurla-NG新后门运行逻辑如下:

  • 服务成功启动后,将调用ServiceMain函数,在ServiceMain函数中,将调用beginthreadex函数创建主感染线程;
  • 在主感染线程中,样本将创建两个线程:
    • 第一个线程主要用于向C2服务器发起网络通信;
    • 第二个线程主要用于对第一个线程中接收的远控命令进行执行;

创建主感染线程