2019年11月，Chafer要挟小组针对土耳其 *** 从头运用他们在2019年早些时候运用的基础设施(Clearsky报导的活动中)，特别是域名win10-update [.] com。尽管咱们没有见到此进犯的初始交给机制，但咱们确真实185.177.59 [.] 70上观察到保管的辅佐有效载荷，此IP是该域名在进犯活动时解析的地址。
Unit 42从2019年开端观察到Chafer活动，但Chafer自2019年以来一向活泼。这个新的辅佐有效载荷是依据Python的，并运用PyInstaller编译成可履行文件。这是Unit 42辨认这些运营者运用的之一个依据Python的有效载荷。咱们还发现其代码与OilRig的Clayside VBScript堆叠，但此次将Chafer和OilRig作为独自的要挟安排进行盯梢。咱们已将此有效载荷命名为MechaFlounder以便盯梢，并在下面具体评论。
一、针对土耳其 ***
咱们辨认此次Chafer活动依据从IP地址185.177.59 [.] 70下载的歹意可履行文件。现在尚不清楚进犯者怎么定位受害者并导致他们下载此文件。
名为“lsass.exe”的文件是经过HTTP恳求从win10-update [.] com下载的。 win10-update [.] com域名已在开源中被标示为与Chafer要挟安排相相关的指示符。从此域名下载的lsass.exe文件是曾经未陈述的依据python的有效载荷，咱们命名为MechaFlounder并继续追寻。咱们以为Chafer运用MechaFlounder作为辅佐有效载荷，并运用之一阶段有效载荷下载，以便在受感染的主机上履行其后续活动。依据咱们的遥测技术，在此活动中没有观察到之一阶段的有效载荷。
2019年2月，IP地址134.119.217 [.] 87解析为win10-update [.] com以及或许与Chafer活动相关的其他几个域名。风趣的是，域名turkiyeburslari [.] tk，它镜像了合法的土耳其奖学金 *** 范畴turkieyburslari [.] gov [.] tk，也解析到这个IP。与此IP地址相关的域名包括在附录中，如下面的图1所示。

图1. 与134.119.217[.]87相相关的基础设施
二、MechaFlounder载荷
依据python的有效载荷“lsass.exe”经过HTTP恳求从指令和操控（C2）服务器获取到以下URL：
win10-update[.]com/update.php?req=&m=d
咱们盯梢的这个MechaFlounder有效载荷（SHA256：0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff）是用Python开发的，并运用PyInstaller东西绑缚为可移植的可履行文件。此辅佐有效载荷充任后门，答应操作人员上传和下载文件，以及在受感染体系上运转其他指令和应用程序。
MechaFlounder首要进入一个循环，不断测验与其C2服务器通讯。特洛伊木马运用HTTP将出站信标发送到其C2服务器，该信标包括用户的帐户名和主机名。如图2所示，代码经过将用户名和主机名以及两个字符串之间的两个短划线“ – ”连接来构建URL。然后，代码两次运用上述新字符串创立URL字符串，并在两者之间运用反斜杠“”字符，并附加字符串“-sample.html”。

图2. 用于构建反常HTTP恳求的特洛伊木马代码
在此剖析过程中，图2中的代码为其信标生成了反常HTTP恳求，如下面的图3所示。有人或许会注意到图3中的GET恳求不是以正斜杠“/”字符最初，而是在URL中包括反斜杠字符“”。这会导致合法的Web服务器（例如咱们的测验环境中运用的nginx）以“400 Bad Request”过错音讯进行呼应。这或许标明，图2中的代码运用httplib模块中的HTTPConnection类来生成反常HTTP信标，要挟行为者创立了一个自定义服务器来处理此C2通讯，而不是依赖于规范Web服务器。
此外，图2显现歹意软件作者运用变量名'cmd'来构建用于HTTP办法和途径的字符串，并在字符串的HTTP办法中查看单词'exit'。咱们不确认此查看的意图，因为此字符串中的HTTP办法不会呈现“exit”，因而永久不会建立。咱们以为这或许源自作者忘掉删去的之前版别的脚本。

图3. Trojan在测验环境中宣布的HTTP恳求示例
假如C2服务器承受图3中的信标，它将呼应HTML，其间包括用于解析和履行特洛伊木马的指令。特洛伊木马首要运用下面图4中的代码将呼应中的HTML转换为文本。图4中的HTML到文本代码能够在Internet上的多个当地取得，但它或许源于Stack Overflow上的一个题为运用Python从HTML文件中提取文本的评论，歹意软件作者或许从此处获取该代码。

图4. 或许从Stack Overflow评论中取得的代码
将HTML转换为文本后，特洛伊木马会疏忽呼应的前10个字符，并将字符串的其余部分视为指令。C2还能够在此指令字符串中供给子字符串“yes”，指示特洛伊木马将指令解码为base16编码的字符串，并移除“yes”子字符串。特洛伊木马将C2供给的指令置于处理程序中，该处理程序确认特洛伊木马将履行的动作。表1显现了特洛伊木马指令处理程序中可用的指令列表以及相应的行为。指令处理程序中的指令为Chafer供给了与长途体系交互的必要功用。

[1] [2]  黑客接单网