[译] APT分析报告：05.Turla新型水坑攻击后门（NetFlash和PyFlash）

这是作者新开的一个专栏，主要翻译国外知名的安全厂商APT报告文章，了解它们的安全技术，学习它们溯源APT组织的方法，希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken，它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门（NetFlash和PyFlash），研究人员发现Turla对Armenian的知名网站发起水坑攻击，通过伪造Adobe Flash更新，欺骗受害者下载两个新型恶意软件NetFlash和PyFlash，从而实现恶意攻击，整个攻击的TTP基本没有变化 ，但Turla第一次使用了Python后门程序。

水坑攻击属于APT攻击的一种，与钓鱼攻击相比，黑客无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。在人们安全意识不断加强的今天，黑客处心积虑地制作钓鱼网站却被有心人轻易识破，而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性，效率也更高。水坑方法主要被用于有针对性的攻击，而Adobe Reader、Java运行时环境（JRE）、Flash和IE中的0day漏洞被用于安装恶意软件。下图展示了水坑攻击的基本流程。

那么，如何防御水坑攻击呢br> 针对这类攻击，重要的一点也是对用户进行教育，让他们意识到这类攻击及其危害性，遇到点击链接的要求时越谨慎越好。其次企业组织本身也要提高警惕，采取更高级的手段检测并对抗攻击。同时，安装必要的安全软件能有效识别恶意伪装软件。

二.Turla组织

Turla，也称为Venomous Bear、Waterbug和Uroboros，是迄今为止最为高级的威胁组织之一，并被认为隶属于俄罗斯ZF（该组织成员均说俄语）。虽然该组织被认为至少在2007年就已经成立，但直到2014年它才被卡巴斯基实验室发现。这主要是因为，该组织被证实能够利用卫星通信中固有的安全漏洞来隐藏其C&C服务器的位置和控制中心。

我们都知道，一旦C&C服务器的位置暴露，幕后的操作者就会很容易被发现。因此，Turla组织具备的这种能力使得它能够很好地隐藏自己的位置和实施JD活动。卡巴斯基实验室在2017年进行的一项调查显示，相比于2015年，Turla组织已经将其卫星C＆C注册数量增加了至少十倍。

自2007 年以来，Turla组织一直处于活跃状态，并制造了许多影响一时的大事件。比如，在2008年被指攻击了美国ZYSLB部，即Buckshot Yankee事件——通过U盘将一种名为“agent.btz”的恶意软件上传到了wu角大楼的jun事网络系统之中。另一起事件发生在2016年，也就是对瑞士JG企业RUAG集团的大规模网络攻击。在这起攻击中，Turla使用了网络JD软件Epic Turla（Turla软件家族的一个分支，被称为“史上最复杂的APT间谍软件”）、木马程序以及Rootkit恶意软件的组合。此外，被Turla攻击过的组织远不止于此，这包括乌克兰、欧盟各国政府以及各国大使馆、研究和教育组织以及制药、军工企业。

根据卡巴斯基实验室的说法，Turla这些年来主要使用了以下几种攻击工具：

• IcedCoffeer和KopiLuwak
• Carbon
• Mosquito
• WhiteBear
• LightNeuron

从2015年起，Turla就已经开始通过多种方式利用Javascript、powershell、wsh，这包括恶意软件的下载和安装，以及完整后门的实现。在被VBA宏代码解密后，White Atlas框架通常会使用一个小型的Javascript脚本来执行恶意软件dropper有效载荷，然后再删除dropper以擦除痕迹。对于释放由Turla开发的Firefox扩展后门，White Atlas框架使用了一种更加复杂和高度混淆的Javascript脚本，该脚本仍然负责写入 extension.json 扩展配置文件，然后再删除自己。

那么，如何溯源APT组织呢里简单补充下。

• Turla APT和早期的蠕虫病毒Agent.BTZ高度相关
  2015年的VirusBulletin会议上，卡巴斯基研究人员Kurt Baumgartner表示，Turla APT和早期的蠕虫病毒Agent.BTZ高度相关，并且Agent.BTZ样本文件包含了对卫星基础设施的劫持攻击，与后期的Turla极为相似。“Turla日志会生成与Agent.btz相同的文件名（mswmpdat.tlb、winview.ocx和wmcache.nld）并保存在被入侵的系统中。Turla还使用了和Agent.btz如出一辙的XOR密匙为其日志文件加密。”
• 这篇文章的水坑攻击与过去几年Turla的水坑攻击非常相似
  尤其是操作方式类似于在2017年发现的一个攻击事件，那里使用的各种JavaScript片段几乎与此攻击中的相同，但目标和有效负载不同。
• KopiLuwak脚本通过宏代码进行解码，这与IcedCoffee非常相似。
  在2016年11月，卡巴斯基实验室观察到了新一轮的武器化宏文档。这些宏文档释放了一个新的、高度混淆的Javascript 有效载荷，即KopiLuwak。这种新的攻击工具所针对的目标与Turla之前所针对的目标是一致的（即针对欧洲各国ZF），但它的部署比IcedCoffee更具针对性。
• “月光迷宫”攻击者由于其低级的英语水平和俄语倾向
  攻击者犯了一些细微的错误，比如在一个程序的逆向过程中，发现了其PDB程序路径中包含了可能是攻击程序开发成员的Max、Iron和Rinat。尽管这些程序有可能是在受害者机器上进行编译开发的，但这三个名字还在/myprg/、/mytdn/和/exploits/路径下都存在。其中值得注意的是，名为Iron的成员涉及开发了LOKI2后门早期的客户端程序cli。另外，在一个两次调用的进程PID信息中可以发现一个名为“grandchild”或“grandson”的俄语单词“vnuk”。

参考文献：

• 卡巴斯基：深度揭露俄罗斯APT组织Turla
• 卡巴斯基：揭秘Turla APT的转世前身

三.目标网站

此次攻击事件中，Turla至少破坏了四个Armenian的网站，其中包括两个属于ZF的网站。因此，其攻击目标可能包括政府官员和政客。以下网站遭到入侵：

• armconsul [.] ru：俄罗斯亚美尼亚大S馆领事处
• mnp.nkr [.] am：Artsakh自然保护和自然资源部
• aiisa [.] am：亚美尼亚国际和安全事务研究所
• adgf [.] am：亚美尼亚存款担保基金

ESET研究迹象表明，这些网站至少从2019年初以来就遭到了入侵。我们在发布前通知Armenian国家CERT，并与他们分享了我们的分析结果。Turla利用非法访问向网站中插入恶意JavaScript代码。 例如：

• 对于mnp.nkr [.] am，在jquery-migrate.min.js（常见的JavaScript库）的末尾附加了混淆的代码，如下图所示。

• 第一次执行脚本
  如果这是用户浏览器第一次执行该脚本，它将添加一个evercookie，该cookie具有由服务器提供的随机MD5值，该值在每次执行脚本时都不同。 evercookie是基于GitHub代码实现的。它使用多个存储位置（如本地数据库、本地共享对象Flash cookie、Silverlight存储等）来存储cookie值。与常规Cookie相比，它的持久性更高，因为如果用户只是删除了浏览器的Cookie，它是不会被删除的。

• 第二次访问受感染网站
  该evercookie将用于识别用户是否再次访问了受感染的网站。当用户第二次访问时，先前存储的MD5值可以用来识别第二次访问的行为。然后，它会收集浏览器插件列表、屏幕分辨率和各种操作系统信息，由POST发送到C＆C服务器。如果有答复，则认为它是JavaScript代码，并使用eval函数执行。

如果攻击者对感染目标感兴趣，则服务器会用一段创建iframe的JavaScript代码进行答复。来自ESET研究的数据表明，此次活动中Turla只对非常有限的访问网站感兴趣。之后该iframe会向用户显示虚假的Adobe Flash更新警告，目的是诱使他们下载恶意的Flash安装程序。下图展示了伪造的Adobe Flash更新iframe。

五.恶意软件

当用户执行了伪造的安装程序，它将同时执行Turla恶意软件和合法的Adobe Flash安装程序。 因此，用户可能认为更新警告是合法的。

1.2019年9月之前：Skipper

在2019年8月结束之前，受害人将收到一个RAR-SFX存档，其中包含一个合法的Adobe Flash v14安装程序和另一个RAR-SFX存档。后者包含后门的各种组件，即Skipper。先前已归因于Turla，它是由Bitdefender的研究人员在2017年记录的，而最新版本是由Telsy在2019年5月记录的。

鉴于文档版本和最新版本之间只有很小的变化，因此我们在这里将不提供详细的分析。一个有趣的变化是，Skipper通信模块使用托管该活动的远程JavaScript和恶意二进制文件的服务器为其C＆C服务器，特别是：

• Skategirlchina [.com / wp-includes / ms-locale.php

2.从2019年9月开始：NetFlash和PyFlash

在2019年8月底，我们注意到skategirlchina [.com] 交付的有效负载发生了变化。

(1) NetFlash（.NET下载器）
2019年8月末发现了新的恶意负载，新的恶意负载是一个.NET程序，它在％TEMP％ adobe.exe中删除了Adobe Flash v32的安装程序，在％TEMP％ winhost.exe中删除了NetFlash（.NET下载程序）。根据其编译时间戳分析，该恶意样本是在2019年8月底和2019年9月初编译的，然后再上传到水坑攻击的C＆C服务器。

NetFlash从硬编码URL下载其第二阶段恶意软件，并使用Windows计划任务为新后门建立持久性。下图显示了NetFlash的主要功能，该功能可下载名为PyFlash的第二阶段恶意软件。我们还发现另一个NetFlash样本，该样本可能在2019年8月底编译，具有不同的硬编码C＆C服务器：

• 134.209.222 [.] 206:15363

该脚本的主要功能（如下图所示）将有关计算机的信息发送到C＆C服务器，还包括与OS相关的命令（systeminfo、tasklist）和与网络相关的命令（ipconfig、getmac、arp）的输出结果。下图展示了PyFlash的主要功能。

然后，命令的输出通过POST请求发送回操作员，并用AES加密。

六.结论

Turla仍将水坑攻击作为其初始入侵目标的策略之一。此攻击依赖社交工程学技巧，利用虚假的Adobe Flash更新警告来诱使用户下载并安装恶意软件。另一方面，有效载荷发生了变化，可能是为了逃避检测，恶意负载（payload）为NetFlash，并安装名为PyFlash的后门，该后门是使用Python语言开发的。

我们将继续监视Turla的新活动，并将在我们的博客上发布相关信息。如有任何疑问，请通过threatintel [@] eset.com 与我们联系，也可以在我们的GitHub存储库中找到。

IoCs：

• 遭到破坏的网站

样本：

最后希望这篇文章对您有所帮助，感觉Python后门和水坑攻击挺有意思的，后续不忙可以尝试复现相关的功能。今天是1024，还是挺喜欢一年前《我与CSDN这十年》这篇文章的，人生又有多少个十年啊！最近实验室忙疯了，今天最终于可以回家陪女神。路漫漫其修远兮，继续加油，珍惜当下，准备回家喽~这篇文章是在高铁G401上写的，加油！

(By:Eastmount 2020-10-24 星期六 晚上8点写于高铁 http://blog.csdn.net/eastmount/ )

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树首页概览22508 人正在系统学习中

来源：Eastmount