大家好，我是零日情報局。

本文首發于公眾號零日情報局，微信ID：lingriqingbaoju

只要開發快，溯源就沒法找到我?！猅urla

Turla，一個圈內人盡皆知的俄羅斯背景APT間諜組織。這次這只毒蛇開發了一種新型惡意軟件，盯上亞美尼亞開啟了持續性攻擊，領事館網站、能源部無一幸免。

值得說道的，這次攻擊中，Turla在慣用的AdobeFlash更新誘餌中，一次性增加了兩個從未被記錄的惡意組件NetFlash和PyFlash，甚至還第一次出現了使用Python語言的情況。

你沒看錯，一次性增加了兩個從未被記錄的新惡意組件，還啟用了Turla幾乎未涉及的編程語言。對此，零日不得不猜測，Turla工具庫可能又要擴大了。

甭管安裝執行什么惡意軟件，入侵都是第一步，所以在聊新增惡意組件前，都得知道Turla是怎么入侵的。

首先，Turla在目標網站暗中植入惡意代碼JavaScript。拿mnp.nkr[.]am來說，Turla就在常見的JavaScript庫jquery-migrate.min.js末尾，附加了一段混淆代碼。

有了這串不起眼的代碼，就能在skategirlchina[.]com/wp-includes/data_from_db_top.php加載外部JavaScript。

一旦有人訪問受感染網站，skategirlchina.com就會釋放惡意JavaScript，并在訪問者瀏覽器上添加指紋。

就像這樣

接下來上演的就是大家都熟悉的，指紋識別和惡意軟件交付危險行為。有意思的是，Turla會篩選用戶價值，分別處理。

比如說，你是第一次執行腳本的低價值目標，就會在瀏覽器上添加一個由服務器提供的隨機MD5值evercookie。

這樣這個值在后續的每一次執行腳本中都不同，進而長期持續的跟蹤用戶，甚至你直接刪除瀏覽器cookie，也無法停止evercookie的運行。

而當你是潛在的高價值目標時，Turla的服務器則會給你展示一個創建iframe的JavaScript代碼，開始對你下套。

你看到的界面，就會變成這種誘導更新的畫面。

這時回過頭梳理Turla的整個攻擊過程，會發現從很初訪問受感染網站到惡意負載的傳遞，是這樣一個過程：

也是完成了上述流程，Turla才真正開始執行惡意軟件，也就是零日開篇提到新增的兩種惡意軟件。

假如分階段的話，前面說的其實是Turla攻擊的入侵階段，后面的則是Turla部署的新惡意軟件了。

惡意組件1：NetFlash（.NET下載器）

這個新發現的有效載荷NetFlash是一個.NET應用程序。

它在%TEMP%\adobe.exe中刪除了一個AdobeFlashv32安裝程序，并在%TEMP%\winhost.exe中刪除了一個.NET下載程序。

從ESET捕捉的惡意樣本來看，2021年8月底和2021年9月初被編譯后，NetFlash才被上傳到水坑攻擊的C＆C服務器。

NetFlash會從硬編碼URL下載其第二階段惡意軟件，并使用Windows計劃任務保持新后門的持久性，以便于后續攻擊。

通過NetFlash，可下載名為PyFlash的第二階段惡意軟件。

惡意組件2：PyFlash

第二個新發現的惡意軟件，其實是一個py2exe可執行文件。

所謂的py2exe，指的是一個Python擴展，主要功能是將Python腳本轉換為獨立的Windows可執行文件。

PyFlash通過與硬編碼的C＆C服務器通信，在腳本的開頭指定了C＆CURL以及用于加密所有網絡通信的其他參數（例如AES密鑰和IV）。

通過腳本的指定，直接讓這個腳本能夠把相關計算機信息反饋給C＆C服務器。

值得一提的是，C＆C服務器還能以JSON格式發送后門命令，進行特定操作。在目前新發現的PyFlash中，能進行的命令主要有這幾種：

需談啄蒙遼擱用失腰兩潮簾陳竟救語牢懼釀絨和細慌虎粉鎮貫鄙陜另拍姨究刃夜串庭籌姿捆給廁各汪敢唇肅嚼致把爹場屬克雕極帽飛喪渴芽茄圣酒惱茫調技套遞擇飄喪笛犯兔會空律框窄馳智今揮禽告股識稼官沖死竊語緊晴燥耀洪肺垮庫溪喉吩事廉端企征悼伴抗縮華激含鞭Q。Python是很強語言看看俄羅斯Turla黑客開發的Python惡意軟件。唐人seo技術論壇,seo實戰元創版課后答案,自適應網站費用推薦樂云seo,seo外包洛陽