Turla 的逃避艺术

zer0daysec

英文原文：https://www.gdatasoftware.com/bl ... a-evasion-lnk-files

一、介绍

Turla 是一种著名的恶意软件，它现已将 LNK 文件武器化用来感染计算机。我们观察到了一个活动中样本使用了此方法，详细了解一下这篇文章吧！

快捷方式文件可让用户执行位于不同文件夹中的文件或资源，提供了便利。但如果被攻击者将其武器化来执行他们的命令怎么办？

2024 年 5 月 9 日，G DATA 分析师观察到一个新活动，该活动使用恶意快捷方式文件，利用 Microsoft 的平台构建应用程序，将无文件后门部署到系统中。它还利用内存 patch、绕过 AMSI 和禁用系统事件日志功能来削弱系统的防御能力，从而增强其规避能力。

Turla，也被称为 Uroburos 等其他名称，是 G DATA 研究人员所熟悉的名字，因为他们在 10 多年前就对这种俄罗斯恶意软件进行了首次分析。

二、技术细节

2.1 入侵和感染

恶意快捷方式文件的包来源来自菲律宾一家顶级报纸和媒体网站《菲律宾每日询问者报》，受感染网站网址为 hxxps://ies.inquirer.com.ph/--REDACTED--/Advisory23-UCDMS04- 11-01.zip

感染始于下载的恶意软件包，该文件的链接可能通过网络钓鱼电子邮件进行分发。当毫无戒心的用户执行从下载的包中提取的恶意快捷方式文件时，将导致执行 PowerShell 脚本，该脚本将无文件后门部署到系统中。利用微软的 msbuild.exe 来实现 AWL (应用程序白名单) 绕过以避免检测。还创建一个计划任务作为其持久性方法的一部分，并维持其在系统中的存在以执行其恶意例程。

2.2 技术分析

恶意快捷方式文件伪装成普通 pdf 文档，文件名为 Advisory23-USDMS04-11-01.pdf.lnk，代表菲律宾统计局 (PSA) 公共咨询的参考号。PSA 是菲律宾的国家统计机构，负责所有国家人口普查和调查以及国民账户编制。

执行恶意快捷方式文件后，它将触发 PowerShell 脚本的执行，该脚本将释放以下文件：

1. %temp%\ChromeConnection
   
2. %temp%\ Advisory23-USDMS04-11-01.pdf

复制代码

文件 Advisory23-USDMS04-11-01.pdf 是一个无害文档，其中包含 PSA 公共咨询，如下图所示：



该文档是一个诱饵，ChromeConnection 文件是一个恶意的 MSBuild 项目文件，由 PowerShell 脚本触发后由 msbuild.exe 加载。

该项目文件仅适用于 64 位操作系统，因为其中指示的程序集文件位于 Microsoft.Net 的 Framework64 目录中。通过 msbuild.exe 执行项目文件 ChromeConnection 后，会创建一个计划任务作为恶意软件持久性机制的一部分：

1. /create /sc MINUTE /mo 30 /st 07:00:00 /tn "ChromeConnection" /tr "cmd /c start /min
   
2. %windir%\Microsoft.NET\Framework64\v4.0.30319\MSBuild %temp%\ChromeConnection" /f

复制代码

ChromeConnection 每 30 分钟启动一次，从早上 7 点开始。

然后将项目文件中混淆的有效负载加载到系统中，该有效负载是一个无文件后门。



后门是 MSIL 编译的二进制文件，它受到 SmartAssembly 的保护，SmartAssembly 是一种强大的混淆工具，可以保护应用程序免受反汇编工具的影响，并且一些代码是隐藏的，这可以被视为其反调试方案的一部分。

三、后门

诸如此类的后门能够通过禁用系统的 Windows 事件跟踪 (ETW) 来逃避检测，此功能提供了一种跟踪和记录用户模式下的应用程序以及内核模式下的驱动程序生成的事件机制。作为其反检测方案的一部分，后门还会对某些内存系统模块组件执行内存 patch。方案的另一部分是绕过 Windows 反恶意软件扫描接口 (AMSI)，这是 Windows 中的一项安全功能，使应用程序和服务能够与计算机上存在的任何反恶意软件产品集成。



接下来，使用不同的 URL 建立与 c2 服务器的连接。首先，恶意软件将建立到以下连接：

hxxp://files.philbendeck.com/file/<computed string encoded ID>.jsp

此 URL 是网站遭到入侵的个人网站，此连接将根据服务器的响应来验证后门的存活性。

服务器验证成功后，它将使用下一个 URL 建立与服务器的连接

hxxp://files.philbendeck.com/help/<computed string encoded ID>.jsp

当连接到服务器时，它将传输后门的命令，此连接将根据服务器的响应来决定后门的命令。

四、后门命令

ps 创建一个 PowerShell 运行空间，它将执行以下操作：

• 通过禁用 ETW 来禁用系统的事件相关功能
• 通过对内存系统模块组件执行内存 patch 来禁用事件相关的模块功能
• 通过对内存中的 amsi.dll 执行内存 patch 来禁用 AMSI 扫描功能
• 执行从服务器接收的 PowerShell 脚本
  

cps 命令 - 关闭 PowerShell 运行空间

op 命令

• 报告后门的重新连接、睡眠和接收超时
• 该信息通过以下 URL 发送到服务器：hxxp://files.philbendeck.com/about/<computed string encoded ID>.jsp
  

uf 命令 - 使用用户名作为文件名创建一个文件，其中的内容是从服务器接收的

五、结论

通过分析该恶意软件，我们发现它与 Turla 使用的其他恶意软件有一些相似之处。首先，它使用受感染的网站作为服务器。接下来，通过 patch 内存中的 amsi.dll 来绕过 AMSI。另一种是使用 PowerShell 脚本将恶意代码加载到内存中，从而逃避检测。最后是执行服务器提供的其他 PowerShell 脚本并将结果报告给服务器。我们还发现了该恶意软件所采用的新技术，而 Turla APT 系列的恶意软件尚未利用这些新技术。

• LNK 文件的使用
• 使用 MSbuild 加载将启动无文件后门的项目文件
• 通过 patch 内存系统模块组件 (advapi32.dll、ntdll.dll) 来禁用与事件相关的模块功能
• 禁用 Windows 事件跟踪 (ETW)
  

六、防御

为了防止此类恶意软件感染系统，以下是一些实用提示：

• 将 PowerShell 执行策略设置为仅执行签名的脚本。
• 不需要时可以从系统中删除 PowerShell，但应进行审查以评估对环境的影响，因为它可能用于许多合法目的和管理功能。
• 禁用或限制 WinRM 服务以帮助防止使用 PowerShell 进行远程执行。
• MSBuild.exe 在环境中可能不是必需的，如果不使用，则应将其删除。
• 如果给定系统或网络不需要，请使用配置为阻止 msbuild.exe 执行的应用程序控制，以防止对手潜在的误用。
  

七、IoCs

HASH

• cac4d4364d20fa343bf681f6544b31995a57d8f69ee606c4675db60be5ae8775 - Advisory23-CDMS04-11-01.pdf.lnk
• c2618fb013135485f9f9aa27983df3371dfdcb7beecde86d02cee0c258d5ed7f - Advisory23-UCDMS04-11-01.pdf.zip
• b6abbeab6e000036c6cdffc57c096d796397263e280ea264eba73ac5bab39441 - ChromeConnection
• 7091ce97fb5906680c1b09558bafdf9681a81f5f524677b90fd0f7fc0a05bc00 - None (提取嵌入的二进制文件)
  

URL

• hxxps://ies.inquirer.com.ph/advprod03/assets/images/Advisory23-UCDMS04-11-01.zip - 恶意 lnk 文件包来源
• hxxp://files.philbendeck.com/file/<computed string encoded ID>.jsp - 用于连接验证的恶意软件服务器
• hxxp://files.philbendeck.com/help/<computed string encoded ID>.jsp - 用于后门命令的恶意软件服务器
• hxxp://files.philbendeck.com/article/<computed string encoded ID>.jsp - 用于报告禁用系统事件功能和脚本执行结果的恶意软件服务器
• hxxp://files.philbendeck.com/about/<computed string encoded ID>.jsp - 恶意软件服务器，用于报告恶意软件重新连接、睡眠和接收超时的时间