小編給大家分享一下Turla如何利用水坑攻擊植入后門(mén)，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

成都創(chuàng)新互聯(lián)公司長(zhǎng)期為千余家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為太倉(cāng)企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、網(wǎng)站制作，太倉(cāng)網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

僅供學(xué)習(xí)參考使用

目標(biāo)網(wǎng)站

Turla至少破壞了四個(gè)Armenian網(wǎng)站，其中包括兩個(gè)政府網(wǎng)站。 因此，目標(biāo)可能包括政府官員和政客。以下網(wǎng)站遭到入侵：

armconsul [.] ru：俄羅斯亞美尼亞大使館領(lǐng)事處

mnp.nkr [.] am：Artsakh共和國(guó)自然保護(hù)和自然資源部

aiisa [.] am：亞美尼亞國(guó)際和安全事務(wù)研究所

adgf [.] am：亞美尼亞存款擔(dān)?；?/p>

這些網(wǎng)站至少?gòu)?019年初就遭到了入侵。Turla利用非法訪問(wèn)向網(wǎng)站中插入惡意JavaScript代碼。 例如，對(duì)于mnp.nkr [.] am，在jquery-migrate.min.js（常見(jiàn)的JavaScript庫(kù)）的末尾附加了混淆的代碼，如圖1所示:

改代碼會(huì)從'skategirlchina[.]com/wp-includes/data_from_db_top.php.'下載額外的JavaScript腳本。從2019年11月開(kāi)始發(fā)現(xiàn)該網(wǎng)站不再傳播惡意腳本,Turla組織似乎是暫停了他們的活動(dòng)。

用戶指紋與傳播鏈

訪問(wèn)受感染的網(wǎng)頁(yè)后，skategirlchina [.]com會(huì)植入第二階段的惡意JavaScript，并為訪問(wèn)者的瀏覽器添加指紋。圖2顯示了此腳本的主要功能。

如果這是用戶瀏覽器第一次執(zhí)行該腳本，它將添加一個(gè)evercookie，該cookie具有由服務(wù)器提供的隨機(jī)MD5值，該值在每次執(zhí)行腳本時(shí)都不同。 evercookie是基于GitHub代碼實(shí)現(xiàn)的。它使用多個(gè)存儲(chǔ)位置（例如本地?cái)?shù)據(jù)庫(kù)，F(xiàn)lash cookie，Silverlight存儲(chǔ)等）來(lái)存儲(chǔ)cookie值。與常規(guī)Cookie相比，它的持久性更高，如果用戶只是刪除瀏覽器的Cookie，它不會(huì)被刪除。

該evercookie將用于識(shí)別用戶是否再次訪問(wèn)了受感染的網(wǎng)站。當(dāng)用戶第二次訪問(wèn)時(shí)，先前存儲(chǔ)的MD5值可以用來(lái)識(shí)別第二次訪問(wèn)行為。

它會(huì)收集瀏覽器插件列表，屏幕分辨率和各種操作系統(tǒng)信息，由POST發(fā)送到C＆C服務(wù)器。如果有答復(fù)，則認(rèn)為它是JavaScript代碼，并使用eval函數(shù)執(zhí)行。

如果攻擊者對(duì)感染目標(biāo)感興趣，服務(wù)器會(huì)用一段JavaScript代碼進(jìn)行答復(fù)。此活動(dòng)中Turla只對(duì)非常有限的訪問(wèn)網(wǎng)站目標(biāo)感興趣。之后會(huì)向用戶顯示假的Adobe Flash更新警告，如圖3所示，目的是誘使他們下載惡意的Flash安裝程序。

沒(méi)有觀察到任何瀏覽器漏洞的利用技術(shù)，活動(dòng)中僅依靠社會(huì)工程技巧。如果用戶手動(dòng)啟動(dòng)了該可執(zhí)行文件，則會(huì)安裝Turla惡意軟件和合法的Adobe Flash程序。圖4是從最初訪問(wèn)受感染的亞美尼亞網(wǎng)站后惡意負(fù)載的傳遞過(guò)程。

惡意軟件

一旦用戶執(zhí)行了偽造的安裝程序，它將同時(shí)執(zhí)行Turla惡意軟件和合法的Adobe Flash安裝程序。 因此，用戶可能認(rèn)為更新警告是合法的。

Skipper

在2019年8月前，受害人將收到一個(gè)RAR-SFX，其中包含一個(gè)合法的Adobe Flash v14安裝程序和另一個(gè)RAR-SFX。 后者包含后門(mén)的各種組件。 最新版本是由Telsy在2019年5月記錄。

Skipper通訊模塊使用的遠(yuǎn)程JavaScript和惡意文件服務(wù)器為C＆C服務(wù)器，Skategirlchina [.com / wp-includes / ms-locale.php。

NetFlash and PyFlash

8月末發(fā)現(xiàn)了新的惡意負(fù)載，新的惡意負(fù)載是一個(gè).NET程序，它在％TEMP％\ adobe.exe中刪除了Adobe Flash v32的安裝程序，在％TEMP％\ winhost.exe中刪除了NetFlash（.NET下載程序）。根據(jù)編譯時(shí)間戳記，惡意樣本是在2019年8月底和2019年9月初編譯的。

NetFlash負(fù)責(zé)從硬編碼URL下載其第二階段惡意軟件，并使用Windows計(jì)劃任務(wù)建立持久性。 圖5顯示了NetFlash功能，下載名為PyFlash的第二階段惡意軟件。還發(fā)現(xiàn)另一個(gè)NetFlash樣本，該樣本在2019年8月底編譯，具有不同的硬編碼C＆C服務(wù)器：134.209.222 [.] 206:15363。

第二階段后門(mén)是py2exe可執(zhí)行文件。 py2exe是一個(gè)Python擴(kuò)展，用于將Python腳本轉(zhuǎn)換為Windows可執(zhí)行文件。 這是Turla開(kāi)發(fā)人員第一次在后門(mén)使用Python語(yǔ)言。

后門(mén)通過(guò)HTTP與硬編碼的C＆C服務(wù)器通信。 在腳本的開(kāi)頭指定了C＆C URL以及用于加密網(wǎng)絡(luò)通信的其他參數(shù)（例如AES密鑰和IV），如圖6所示。

該腳本的主要功能（如圖7所示）將機(jī)器信息發(fā)送到C＆C服務(wù)器，還包括與OS相關(guān)的命令（systeminfo，tasklist）和與網(wǎng)絡(luò)相關(guān)的命令（ipconfig，getmac，arp）的輸出結(jié)果。

C＆C服務(wù)器還可以以JSON格式發(fā)送后門(mén)命令。命令有：

1、從給定的HTTP（S）鏈接下載其他文件。

2、使用Python函數(shù)subprocess32.Popen執(zhí)行Windows命令。

3、修改Windows任務(wù)，定期（每X分鐘；默認(rèn)為5分鐘）啟動(dòng)惡意軟件。

4、殺死（卸載）惡意軟件。 為了確認(rèn)此指令，惡意軟件使用以下字符串將POST請(qǐng)求發(fā)送到C＆C服務(wù)器：

總結(jié)

Turla仍將水坑攻擊作為其初始入侵目標(biāo)的策略之一。 此活動(dòng)依社交工程學(xué)技巧，利用虛假的Adobe Flash更新警告來(lái)誘使用戶下載并安裝惡意軟件。另一方面，有效載荷發(fā)生了變化，可能是為了逃避檢測(cè)，惡意負(fù)載為NetFlash，并安裝名為PyFlash的后門(mén)，該后門(mén)是使用Python語(yǔ)言開(kāi)發(fā)的。

IoCs

website

http://www.armconsul[.]ru/user/themes/ayeps/dist/js/bundle.0eb0f2cb2808b4b35a94.js

http://mnp.nkr[.]am/wp-includes/js/jquery/jquery-migrate.min.js

http://aiisa[.]am/js/chatem/js_rA9bo8_O3Pnw_5wJXExNhtkUMdfBYCifTJctEJ8C_Mg.js

adgf[.]am

C&C servers

http://skategirlchina[.]com/wp-includes/data_from_db_top.php

http://skategirlchina[.]com/wp-includes/ms-locale.php

http://37.59.60[.]199/2018/.config/adobe

http://134.209.222[.]206:15363

http://85.222.235[.]156:8000

樣本

MITRE ATT&CK techniques

以上是“Turla如何利用水坑攻擊植入后門(mén)”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！