Turla如何利用水坑攻擊植入後門

目標網站

Turla至少破壞了四個Armenian網站，其中包括兩個政府網站。因此，目標可能包括政府官員和政客。以下網站遭入侵：

armconsul [.] ru：俄羅斯亞美尼亞大使館領事處

mnp.nkr [.] am：Artsakh共和國自然保育與自然資源部

aiisa [.] am：亞美尼亞國際與安全事務研究所

adgf [.] am：亞美尼亞存款保證基金

這些網站至少從2019年初就遭到了入侵。 Turla利用非法存取向網站插入惡意JavaScript程式碼。例如，對於mnp.nkr [.] am，在jquery-migrate.min.js（常見的JavaScript函式庫）的末尾附加了混淆的程式碼，如圖1所示:

##改變程式碼會從'skategirlchina[.]com/wp-includes/data_from_db_top.php.'下載額外的JavaScript腳本。從2019年11月開始發現該網站不再傳播惡意腳本,Turla組織似乎是暫停了他們的活動。

使用者指紋與傳播鏈

造訪受感染的網頁後，skategirlchina [.]com會植入第二階段的惡意JavaScript，並為訪客的瀏覽器加上指紋。圖2顯示了此腳本的主要功能。

如果這是使用者瀏覽器第一次執行該腳本，它將新增一個evercookie，該cookie具有由伺服器提供的隨機MD5值，該值在每次執行腳本時都不同。 evercookie是基於GitHub程式碼實現的。它使用多個儲存位置（例如本地資料庫，Flash cookie，Silverlight儲存等）來儲存cookie值。與常規Cookie相比，它的持久性更高，如果使用者只是刪除瀏覽器的Cookie，它不會被刪除。

該evercookie將用於識別使用者是否再次造訪了受感染的網站。當使用者第二次造訪時，先前儲存的MD5值可以用來識別第二次存取行為。

它會收集瀏覽器插件列表，螢幕解析度和各種作業系統訊息，由POST傳送到C＆C伺服器。如果有答复，則認為它是JavaScript程式碼，並使用eval函數執行。

如果攻擊者對感染目標感興趣，伺服器會用一段JavaScript程式碼回覆。此活動中Turla只對非常有限的造訪網站目標感興趣。之後會向使用者顯示假的Adobe Flash更新警告，如圖3所示，目的是誘使他們下載惡意的Flash安裝程式。

沒有觀察到任何瀏覽器漏洞的利用技術，活動中僅依靠社會工程技巧。如果使用者手動啟動了該可執行文件，則會安裝Turla惡意軟體和合法的Adobe Flash程式。圖4是從最初造訪受感染的亞美尼亞網站後惡意負載的傳遞過程。

惡意軟體

一旦使用者執行了偽造的安裝程序，它將同時執行Turla惡意軟體和合法的Adobe Flash安裝程序。因此，用戶可能認為更新警告是合法的。

Skipper

在2019年8月前，受害者將收到一個RAR-SFX，其中包含一個合法的Adobe Flash v14安裝程式和另一個RAR-SFX。後者包含後門的各種組件。最新版本是由Telsy在2019年5月記錄。

Skipper通訊模組使用的遠端JavaScript和惡意檔案伺服器為C＆C伺服器，Skategirlchina [.com / wp-includes / ms-locale.php。

NetFlash and PyFlash

8月末發現了新的惡意負載，新的惡意負載是一個.NET程序，它在％TEMP％\ adobe.exe中刪除了Adobe Flash v32的安裝程序，在％TEMP％\ winhost.exe中刪除了NetFlash（.NET下載程式）。根據編譯時間戳記，惡意樣本是在2019年8月底和2019年9月初編譯的。

NetFlash負責從硬編碼URL下載其第二階段惡意軟體，並使用Windows排程任務建立持久性。圖5顯示了NetFlash功能，下載名為PyFlash的第二階段惡意軟體。也發現另一個NetFlash樣本，在2019年8月底編譯，具有不同的硬編碼C＆C伺服器：134.209.222 [.] 206:15363。

第二階段後門是py2exe執行檔。 py2exe是一個Python擴展，用於將Python腳本轉換為Windows可執行檔。這是Turla開發人員第一次在後門使用Python語言。

後門透過HTTP與硬編碼的C＆C伺服器通訊。在腳本的開頭指定了C＆C URL以及用於加密網路通訊的其他參數（例如AES金鑰和IV），如圖6所示。

此腳本的主要功能（如圖7所示）將機器資訊傳送至C＆C伺服器，還包括與OS相關的命令（systeminfo，tasklist）和與網路相關的命令（ipconfig，getmac，arp ）的輸出結果。

C＆C伺服器也可以以JSON格式傳送後門命令。指令有：

1、從給定的HTTP（S）連結下載其他檔案。

2、使用Python函數subprocess32.Popen執行Windows指令。

3、修改Windows任務，定期（每X分鐘；預設為5分鐘）啟動惡意軟體。

4、殺死（卸載）惡意軟體。為了確認此指令，惡意軟體使用以下字串將POST請求傳送到C＆C伺服器：

#總結

Turla仍將水坑攻擊作為其初始入侵目標的策略之一。此活動依社交工程學技巧，利用虛假的Adobe Flash更新警告來誘使用戶下載並安裝惡意軟體。另一方面，有效載荷發生了變化，可能是為了逃避檢測，惡意負載為NetFlash，並安裝名為PyFlash的後門，該後門是使用Python語言開發的。

IoCs

website

http://www.armconsul[.]ru/user/themes/ayeps/dist/js/bundle.0eb0f2cb2808b4b35a94.js

http://mnp.nkr[.]am/wp-includes/js/jquery/jquery-migrate.min.js

http://aiisa[.]am/js /chatem/js_rA9bo8_O3Pnw_5wJXExNhtkUMdfBYCifTJctEJ8C_Mg.js

adgf[.]am

C&C servers

http://skate/girl-

#C&C servers

http://skate/girl-inc.] /data_from_db_top.php

http://skategirlchina[.]com/wp-includes/ms-locale.php

http://37.59.60[.]199/2018/. config/adobe

http://134.209.222[.]206:15363

http://85.222.235[.]156:8000

#樣本

MITRE ATT&CK techniques

######  ############################################################################################################################################

以上是Turla如何利用水坑攻擊植入後門的詳細內容。更多資訊請關注PHP中文網其他相關文章！