Turla：逃避艺术大师

Turla 是一款著名的恶意软件，它利用 LNK 文件来感染计算机。我们最近就发现了一个这样的案例。请阅读本文，了解更多详情！

Ricardo Pineda, Jr. 和 Arvin Bandong的分析

介绍

快捷方式文件是用户界面中的句柄，允许用户执行位于不同文件夹中的文件或资源，从而为系统中的用户提供便利。但是，如果威胁行为者将其武器化以执行他们的命令会怎样？2024 年 5 月 9 日，GDATA 分析师观察到一个可能的新活动，它使用恶意快捷方式文件，利用 Microsoft 的构建应用程序平台在系统中部署无文件后门。它还使用内存修补、绕过 AMSI 和禁用系统的事件日志记录功能来削弱系统的防御能力，以增强其逃避能力。Turla，也称为“Uroburos”等其他名称，是 G DATA 研究人员熟悉的名字，因为他们在 10 多年前就参与了对这种俄罗斯恶意软件的首次分析之一。 

技术细节

入侵和感染

该恶意快捷方式文件的来源是菲律宾顶级报纸和媒体之一《菲律宾每日问询报》的一个被入侵的网站，网址为 hxxps://ies.inquirer.com.ph/--REDACTED--/Advisory23-UCDMS04-11-01.zip

感染始于从受感染网站下载的恶意包。该文件的链接可能通过包含该网站 URL 的网络钓鱼电子邮件分发。当毫无戒心的用户执行从下载的包中提取的恶意快捷方式文件时，它将导致执行 PowerShell 脚本，该脚本将无文件后门部署到系统中。它利用 Microsoft 的 msbuild.exe 实现 AWL（应用程序白名单）绕过以避免被发现。它还创建计划任务作为其持久性方法的一部分，并维持其在系统中的存在以执行其恶意例程。

技术分析

恶意快捷方式文件进入系统后，伪装成普通 PDF 文档的快捷方式文件。它使用文件名 Advisory23-USDMS04-11-01.pdf.lnk，代表菲律宾统计局 (PSA) 公共咨询的参考编号。PSA 是菲律宾的国家统计机构，负责所有国家人口普查和调查以及国民账户的编制。

一旦执行恶意快捷方式文件，它将触发 PowerShell 脚本的执行，该脚本将删除以下文件：

%temp%ChromeConnection%temp% Advisory23-USDMS04-11-01.pdf

文件 Advisory23-USDMS04-11-01.pdf 是一个良性文档，其中包含 PSA 公共咨询，如下图所示：

图 2.诱饵 PDF 文档

此文档是一个诱饵，目的是阻止ChromeConnection在后台执行恶意活动。该文件是一个恶意的 MSBuild 项目文件，在由 PowerShell 脚本触发后将被 msbuild.exe 加载。图 3 嵌入在 LNK 文件中的 PowerShell 脚本

图 3 嵌入在 LNK 文件中的 PowerShell 脚本

该项目文件仅适用于 64 位操作系统，因为其中指示的程序集文件位于 Microsoft.Net 的 Framework64 目录中。通过 msbuild.exe 执行项目文件“ChromeConnection”后，它会创建一个计划任务作为恶意软件持久性机制的一部分：

/create /sc MINUTE /mo 30 /st 07:00:00 /tn "ChromeConnection" /tr "cmd /c start /min %windir%Microsoft.NETFramework64v4.0.30319MSBuild %temp%ChromeConnection" /f

可以看到，“ChromeConnection”每30分钟启动一次，从早上7点开始，

然后它将项目文件的混淆payload加载到系统中。这个payload是一个无文件后门。

图 4. MSBuild 项目文件中的混淆有效载荷

该后门是一个 MSIL 编译的二进制文件。它受到 SmartAssembly（一种强大的混淆工具）的保护，可防止应用程序被反汇编和逆向工程，并且它的一些代码是隐藏的，这可以被视为其反调试方案的一部分。

后门

图 5. 与服务器的初始通信

此类后门能够通过禁用系统的 Windows 事件跟踪 (ETW) 来逃避检测。此功能提供了一种机制来跟踪和记录由用户模式应用程序以及内核模式驱动程序生成的事件。作为其反检测方案的一部分，后门还会对某些内存系统模块组件执行内存修补。该方案的另一部分是绕过 Windows 反恶意软件扫描接口 (AMSI)，这是 Windows 中的一项安全功能，可使应用程序和服务与计算机上存在的任何反恶意软件产品集成。

接下来，使用不同的 URL 建立与其命令和控制服务器 (c2 服务器) 的连接。首先，恶意软件将与以下 URL 建立连接：

hxxp://files.philbendeck.com/ file /<计算字符串编码的 ID>.jsp

此 URL 是网站被入侵者的个人网站。此连接将根据服务器的响应来验证后门程序的连续性。

一旦服务器验证成功，它将使用下一个 URL 建立与服务器的连接：

hxxp://files.philbendeck.com/ help /<计算字符串编码 ID>.jsp

当连接到服务器时，它将传输后门的命令：此连接将根据服务器的响应指示后门的命令。

图 6. 恶意软件的后门命令与服务器的通信

图 7. 后门命令

后门命令

图 8. 禁用 ETW

图 9. 禁用事件相关模块

图 10. 内存修补程序

ps创建一个 PowerShell 运行空间，它将执行以下操作：

• 通过禁用 ETW 来禁用系统的事件相关功能

• 通过对内存系统模块组件执行内存修补来禁用与事件相关的模块功能

• 通过对内存中的 amsi.dll 执行内存修补来禁用 AMSI 扫描功能

• 执行从服务器收到的 PowerShell 脚本

所有这些都会被记录下来并发送到 URL hxxp://files.philbendeck.com/article/ <计算字符串编码 ID>.jsp

cps

• 关闭 PowerShell 运行空间

操作

• 报告后门的重新连接、睡眠和接收超时

• 该信息通过以下 URL 发送到服务器：

  hxxp://files.philbendeck.com/about/ <计算字符串编码 ID> .jsp

UF

• 使用用户名作为文件名创建一个文件，其中的内容是从服务器接收的

结论

在分析此恶意软件时，我们发现它与 Turla 使用的其他恶意软件有一些相似之处。首先，它使用受感染的网站作为服务器。其次，它通过修补内存中的 amsi.dll 来绕过 AMSI。另一个是使用 PowerShell 脚本在内存中加载恶意代码，从而逃避检测。最后，它执行服务器提供的其他 PowerShell 脚本并将结果报告给服务器。我们还发现了此恶意软件使用的新技术，而 Turla APT 家族的恶意软件尚未使用过这些技术。

• LNK 文件的使用
• 使用 MSbuild 加载将启动无文件后门的项目文件
• 通过修补内存系统模块组件（advapi32.dll、ntdll.dll）禁用与事件相关的模块功能
• 禁用 Windows 事件跟踪 (ETW)

https://www.gdatasoftware.com/blog/2024/07/37977-turla-evasion-lnk-files