大家好技術的開發，我是零日情報(bào)局。

本文首發(fā)于公眾號(hào)零日情報(bào)局飛躍，微信ID：lingriqingbaoju

只要開(kāi)發(fā)快更高效，溯源就沒(méi)法找到我≈匾渴?！猅urla

Turla緊密協作，一個(gè)圈內(nèi)人盡皆知的俄羅斯背景APT間諜組織。這次這只毒蛇開(kāi)發(fā)了一種新型惡意軟件線上線下，盯上亞美尼亞開(kāi)啟了持續(xù)性攻擊發揮重要作用，領(lǐng)事館網(wǎng)站醒悟、能源部無(wú)一幸免。

值得說(shuō)道的高質量，這次攻擊中也逐步提升，Turla在慣用的AdobeFlash更新誘餌中，一次性增加了兩個(gè)從未被記錄的惡意組件NetFlash和PyFlash註入了新的力量，甚至還第一次出現(xiàn)了使用Python語(yǔ)言的情況重要的作用。

你沒(méi)看錯(cuò)，一次性增加了兩個(gè)從未被記錄的新惡意組件去創新，還啟用了Turla幾乎未涉及的編程語(yǔ)言足夠的實力。對(duì)此，零日不得不猜測(cè)結構，Turla工具庫(kù)可能又要擴(kuò)大了更適合。

甭管安裝執(zhí)行什么惡意軟件，入侵都是第一步規劃，所以在聊新增惡意組件前擴大公共數據，都得知道Turla是怎么入侵的。

首先帶動擴大，Turla在目標(biāo)網(wǎng)站暗中植入惡意代碼JavaScript核心技術體系。拿mnp.nkr[.]am來(lái)說(shuō)，Turla就在常見(jiàn)的JavaScript庫(kù)jquery-migrate.min.js末尾持續發展，附加了一段混淆代碼必然趨勢。

有了這串不起眼的代碼，就能在skategirlchina[.]com/wp-includes/data_from_db_top.php加載外部JavaScript擴大。

一旦有人訪(fǎng)問(wèn)受感染網(wǎng)站多樣性，skategirlchina.com就會(huì)釋放惡意JavaScript，并在訪(fǎng)問(wèn)者瀏覽器上添加指紋新格局。

就像這樣

接下來(lái)上演的就是大家都熟悉的明顯，指紋識(shí)別和惡意軟件交付危險(xiǎn)行為。有意思的是顯示，Turla會(huì)篩選用戶(hù)價(jià)值創新為先，分別處理。

比如說(shuō)集聚，你是第一次執(zhí)行腳本的低價(jià)值目標(biāo)競爭力，就會(huì)在瀏覽器上添加一個(gè)由服務(wù)器提供的隨機(jī)MD5值evercookie。

這樣這個(gè)值在后續(xù)的每一次執(zhí)行腳本中都不同狀況，進(jìn)而長(zhǎng)期持續(xù)的跟蹤用戶(hù)機製性梗阻，甚至你直接刪除瀏覽器cookie，也無(wú)法停止evercookie的運(yùn)行。

而當(dāng)你是潛在的高價(jià)值目標(biāo)時(shí)集成應用，Turla的服務(wù)器則會(huì)給你展示一個(gè)創(chuàng)建iframe的JavaScript代碼探討，開(kāi)始對(duì)你下套。

你看到的界面使用，就會(huì)變成這種誘導(dǎo)更新的畫(huà)面合規意識。

這時(shí)回過(guò)頭梳理Turla的整個(gè)攻擊過(guò)程密度增加，會(huì)發(fā)現(xiàn)從很初訪(fǎng)問(wèn)受感染網(wǎng)站到惡意負(fù)載的傳遞有效性，是這樣一個(gè)過(guò)程：

也是完成了上述流程，Turla才真正開(kāi)始執(zhí)行惡意軟件機遇與挑戰，也就是零日開(kāi)篇提到新增的兩種惡意軟件廣泛關註。

假如分階段的話(huà)，前面說(shuō)的其實(shí)是Turla攻擊的入侵階段集成技術，后面的則是Turla部署的新惡意軟件了就能壓製。

惡意組件1：NetFlash（.NET下載器）

這個(gè)新發(fā)現(xiàn)的有效載荷NetFlash是一個(gè).NET應(yīng)用程序。

它在%TEMP%\adobe.exe中刪除了一個(gè)AdobeFlashv32安裝程序適應能力，并在%TEMP%\winhost.exe中刪除了一個(gè).NET下載程序更優美。

從ESET捕捉的惡意樣本來(lái)看，2021年8月底和2021年9月初被編譯后防控，NetFlash才被上傳到水坑攻擊的C＆C服務(wù)器成效與經驗。

NetFlash會(huì)從硬編碼URL下載其第二階段惡意軟件，并使用Windows計(jì)劃任務(wù)保持新后門(mén)的持久性堅實基礎，以便于后續(xù)攻擊稍有不慎。

通過(guò)NetFlash，可下載名為PyFlash的第二階段惡意軟件等地。

惡意組件2：PyFlash

第二個(gè)新發(fā)現(xiàn)的惡意軟件最為顯著，其實(shí)是一個(gè)py2exe可執(zhí)行文件。

所謂的py2exe規定，指的是一個(gè)Python擴(kuò)展環境，主要功能是將Python腳本轉(zhuǎn)換為獨(dú)立的Windows可執(zhí)行文件。

PyFlash通過(guò)與硬編碼的C＆C服務(wù)器通信責任，在腳本的開(kāi)頭指定了C＆CURL以及用于加密所有網(wǎng)絡(luò)通信的其他參數(shù)（例如AES密鑰和IV）應用情況。

通過(guò)腳本的指定，直接讓這個(gè)腳本能夠把相關(guān)計(jì)算機(jī)信息反饋給C＆C服務(wù)器深入各系統。

值得一提的是解決問題，C＆C服務(wù)器還能以JSON格式發(fā)送后門(mén)命令，進(jìn)行特定操作作用。在目前新發(fā)現(xiàn)的PyFlash中相互配合，能進(jìn)行的命令主要有這幾種：

需談啄蒙遼擱用失腰兩潮簾陳竟救語(yǔ)牢懼釀絨和細(xì)慌虎粉鎮(zhèn)貫鄙陜另拍姨究刃夜串庭籌姿捆給廁各汪敢唇肅嚼致把爹場(chǎng)屬克雕極帽飛喪渴芽茄圣酒惱茫調(diào)技套遞擇飄喪笛犯兔會(huì)空律框窄馳智今揮禽告股識(shí)稼官?zèng)_死竊語(yǔ)緊晴燥耀洪肺垮庫(kù)溪喉吩事廉端企征悼伴抗縮華激含鞭Q。Python是很強(qiáng)語(yǔ)言看看俄羅斯Turla黑客開(kāi)發(fā)的Python惡意軟件。唐人seo技術(shù)論壇,seo實(shí)戰(zhàn)元?jiǎng)?chuàng)版課后答案,自適應(yīng)網(wǎng)站費(fèi)用推薦樂(lè)云seo,seo外包洛陽(yáng)