只要開發快,溯源就沒法找到我。——Turla
Turla,一個圈內人盡皆知的俄羅斯背景APT間諜組織。這次這隻毒蛇開發了一種新型惡意軟件,盯上亞美尼亞開啟了持續性攻擊,領事館網站、能源部無一倖免。
值得說道的,這次攻擊中,Turla在慣用的Adobe Flash更新誘餌中,一次性增加了兩個從未被記錄的惡意組件NetFlash和PyFlash,甚至還第一次出現了使用Python語言的情況。
(Turla水坑攻擊目標)
你沒看錯,一次性增加了兩個從未被記錄的新惡意組件,還啟用了Turla幾乎未涉及的編程語言。對此,零日不得不猜測,Turla工具庫可能又要擴大了。
為新惡意組件鋪路的Turla水坑攻擊
甭管安裝執行什麼惡意軟件,入侵都是第一步,所以在聊新增惡意組件前,都得知道Turla是怎麼入侵的。
首先,Turla在目標網站暗中植入惡意代碼JavaScript。拿mnp.nkr [.] am來說,Turla就在常見的JavaScript庫 jquery-migrate.min.js 末尾,附加了一段混淆代碼。
(混淆JavaScript代碼注入mnp.nkr [.] am網站)
有了這串不起眼的代碼,就能在skategirlchina [.] com / wp-includes /data_from_db_top.php 加載外部JavaScript。
一旦有人訪問受感染網站,skategirlchina.com就會釋放惡意JavaScript,並在訪問者瀏覽器上添加指紋。
就像這樣
(惡意URL被偽裝的指紋腳本)
接下來上演的就是大家都熟悉的,指紋識別和惡意軟件交付危險行為。有意思的是,Turla會篩選用戶價值,分別處理。
比如說,你是第一次執行腳本的低價值目標,就會在瀏覽器上添加一個由服務器提供的隨機MD5值evercookie。
這樣這個值在後續的每一次執行腳本中都不同,進而長期持續的跟蹤用戶,甚至你直接刪除瀏覽器cookie,也無法停止evercookie的運行。
而當你是潛在的高價值目標時,Turla的服務器則會給你展示一個創建iframe的JavaScript代碼,開始對你下套。
你看到的界面,就會變成這種誘導更新的畫面。
(偽造的Adobe Flash更新iframe)
這時回過頭梳理Turla的整個攻擊過程,會發現從最初訪問受感染網站到惡意負載的傳遞,是這樣一個過程:
也是完成了上述流程,Turla才真正開始執行惡意軟件,也就是零日開篇提到新增的兩種惡意軟件。
新增惡勢力:NetFlash和PyFlash
如果分階段的話,前面說的其實是Turla攻擊的入侵階段,後面的則是Turla部署的新惡意軟件了。
惡意組件1:NetFlash(.NET下載器)
這個新發現的有效載荷NetFlash是一個. NET應用程序。
它在%TEMP%\\adobe.exe中刪除了一個Adobe Flash v32安裝程序,並在%TEMP%\\winhost.exe中刪除了一個. NET下載程序。
從ESET捕獲的惡意樣本來看,2019年8月底和2019年9月初被編譯後,NetFlash才被上傳到水坑攻擊的C&C服務器。
NetFlash會從硬編碼URL下載其第二階段惡意軟件,並使用Windows計劃任務保持新後門的持久性,以便於後續攻擊。
通過NetFlash,可下載名為PyFlash的第二階段惡意軟件。
惡意組件2:PyFlash
第二個新發現的惡意軟件,其實是一個py2exe可執行文件
所謂的py2exe,指的是一個Python擴展,主要功能是將Python腳本轉換為獨立的Windows可執行文件。
PyFlash通過HTTP與硬編碼的C&C服務器通信,在腳本的開頭指定了C&C URL以及用於加密所有網絡通信的其他參數(例如AES密鑰和IV)。
(PyFlash Python腳本中的全局變量)
通過腳本的指定,直接讓這個腳本能夠把相關計算機信息反饋給C&C服務器。
(PyFlash的主要功能)
值得一提的是,C&C服務器還能以JSON格式發送後門命令,進行特定操作。
在目前新發現的PyFlash中,能進行的命令主要有這幾種:
總的來說,Turla雖然一直以自主開發著稱,但這還是零日第一次看到Turla開發人員在後門程序中使用Python語言。
政府國防注意
Turla組織最早可追溯到90年代“月光迷宮”(Moonlight Maze),在其異常活躍的近十年,也始終以政府、外交和軍事組織的為目標,尤其是北約國家。
對於這樣一個APT裡異常活躍的麻煩製造機,攻擊武器一般的惡意軟件開始更新,無疑就意味著威脅的擴大,畢竟即使只有一種網絡武器,也能不受限制的攻擊所有目標。
再聯想到Turla的俄羅斯背景,以及此次新增惡意軟件攻擊的目標亞美尼亞,考慮到雙方微妙的地緣關係,這背後的地緣政治博弈,可能又暗藏著一出大戲。
零日反思
跳出技術維度,防不勝防的APT,很難用好壞去評判。
就像Turla,對攻擊目標來說,無疑是安全的破壞者,而對Turla背後的政治利益集團來說,Turla則更像一把好用的武器。對Turla或者APT有想法的,咱評論區見。
閱讀更多 地表嘴強程序員 的文章
