Turla 组织最早可以追溯到2004年，已经超过45个国家受到相关攻击，涉及政府、大使馆、军事、教育、研究和制药公司等多个行业。其攻击使用的技战术一直都有着较高的技术水平，对于国家和行业机密有着极大的威胁。

本事件中使用的 Rootkit 主要功能是通过 HOOK 一系列系统调用函数，隐藏和保护其用户态组件。然后通过修改 Ntoskrnl.exe 和 Ndis.sys 的内存数据，在 0xc3 处创建一个新的 IDT 条目并重定向所有的被 HOOK 的函数到一个简单的中断句柄（ISR），每个被 HOOK 的函数都有一个唯一的标识符与 ISR 中的派遣函数相对应。

由于能够该方法能够禁用任何主机内的 HOOK 机制，因此传统的针对 Rookit 的监测能力都受到了限制。

Turla Rootkit 还使用了两个虚拟文件系统，一个 NTFS 文件系统和一个 FAT 文件系统，也就是说，受害者主机上有一个承载了文件系统的加密文件，攻击者将其作为工作空间使用。

这里突出了 Turla 组织攻击活动所使用的工具非常具有高对抗性，能够做到从系统层面避免安全软件的检测和查杀。

除了Rootkit部分，还有一点值得注意，Turla在攻击过程中会使用一个名为“VBoxDrv.sys”的驱动程序，该驱动程序存在 CVE-2008-3431 漏洞，攻击者能够利用该漏洞完成权限提升。

这里就要说到一个概念“VulnDriver”，也就是带有漏洞的驱动程序，比较常见的VulnDriver 还有 GDRV.sys （CVE-2018-19320），Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), ASUS (CVE-2018-18537)。

挖矿木马常用的矿机所使用的 WinRing0.sys 也是一个非常常见的 VulnDriver，这个驱动是一个名为 NZXT CAM 的计算机硬件性能监控产品内的一个便于程序访问 Windows 内核的组件。

这个看起来不大的驱动程序上存在着多达11个 CVE 漏洞，其中 CVE-2020-13516 可以越权直接从 USB 和 PCI 设备查询信息；CVE-2020-13515 可以越权将数据写入 I/O 总线，可能会更改 PCI 配置信息或特定于供应商的数据寄存器，帮助其他程序完成提权；CVE-2020-13518 可以越权直接访问 rdmsr，任意读取 MSR 内数据；CVE-2020-13519 可以越权直接访问 writemsr，向 MSR 内写入数据。

因此，利用这个驱动程序做很多事情，其利用成本低，很受以营利为目的网络攻击者欢迎。

在前段时间 Log4j 曝出存在 RCE 漏洞的时候，该漏洞被大量的黑产攻击者利用，这个驱动程序也连带着出现在了大众的视野之中。

这些 VulnDriver 带着官方的签名，而且本身没有什么恶意行为，因此很多安全厂商都不会告警。

在不久前被曝光的方程式组织的后渗透框架 DanderSpritz 中，也存在 VulnDriver 的利用，在其名为 DoubleFeature 的插件中，存在名为 hidsvc.sys 的驱动程序，该驱动程序存在 CVE-2017-0005 漏洞，能够让攻击者通过用户层代码指定名称和参数来调用内核功能。

说到这，我们来简单了解一些方程式这个组织吧。

方程式组织被称为世界上最尖端的网络攻击组织之一，和恶名昭彰的震网（Stuxnet）和火焰（Flame）有着很深的联系。

震网是一个全球性质的工业病毒，是世界上首个网络“超级破坏性武器”，曾被用来攻击伊朗核设施，手法极其阴险。

同时，我国的工业设施也受到了一定的影响。

因此他们的存在，是国家机密和关键基础设施巨大的威胁。

在这次被曝光的项目中存在一个远程访问工具，其下有一个名为 MSNDSRV.sys 的驱动程序。

该驱动程序曾在2015年的 EquationDrug 组件中被提到，可以隐藏用户侧组件，另外可以在注册表遍历所有网卡，调用 NdisRegisterProtocol 函数注册一个 NDIS 流量监听器，可以接收到受害主机所有流量，实现通讯流量监控。

在两个庞大的项目中，这个驱动程序显得微不足道，和之前提到的 Rootkit 程序相比，方程式组织的 Rootkit 技术没有核心组件的地位，只是整个项目下某一个插件下的一个组件，是一个“随取随用”的地位。

但就是这样一个看起来不值一提的组件，在两个程序中都出现了。

足以说明，Rookit 是方程式组织在攻击组件开发的过程中非常常用的技术，而对于这类常用的组件，攻击者也不会花太多心思进行二次开发。

然而就算是这样，安全厂商仍旧鲜有捕获到方程式组织的活动痕迹，该组织的高隐匿技术之强，可想而知。