muddy waters

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
MuddyWater感染链剖析
阅读量 76184 | 稿费 200

分享到： QQ空间 新浪微博 微信 QQ facebook twitter
发布时间：2018-12-10 15:30:28
译文声明
本文是翻译文章，文章原作者yore，文章来源：blog.yoroi.company
原文地址：https://blog.yoroi.company/research/dissecting-the-muddywater-infection-chain/

译文仅供参考，具体内容表达以及含义原文为准

×

一、前言
在11月末，我们发现有关MuddyWater（污水，APT组织）的新一轮攻击，其攻击目标是中东相关国家。该组织是在2017年被Unit42的研究人员首次披露，在很长的一段时间里，MuddyWater（污水，APT组织）的TTP基本不变：他们通过鱼叉式网络钓鱼的手段进行传播，电子邮件中包含模糊的邮件附件，他们会诱使收件人打开附件并启用宏来运行，然后通过POWERSTAT（该程序是MuddyWater组织使用的基于powershell的第一阶段后门）恶意程序感染收件人主机。下图是恶意文档实例。

根据ClearSky研究小组和TrendMicro研究人员的分析，在11月底，MuddyWater（污水，APT组织）组织先后攻击了土耳其，黎巴嫩和阿曼的相关机构，其采用的手段和释放的载荷相同，都是利用文档中的宏和POWERSTAT后门进行攻击。

二、技术分析
当受害者启用文档中的宏并执行时，恶意代码会创建一个Excel文档，该文档包含一段代码，这段代码的功能是下载下一阶段所需的恶意载荷，同时，会弹出一个错误窗口，并显示“office版本不兼容”，如下图所示。

恶意代码会开启一个用户例程来解密被加密的宏代码。如下图所示：

下图所示为解密后的代码，代码中的“x1”变量代表一个函数，该函数功能是创建一个隐藏的Excel文档。

创建出来的Excel文档也包含宏，该宏执行后，会连接指定URL并下载powershell代码，该URL指向了一个图片链接：”http://pazazta[.]com/app/icon.png“

该powershell会创建3个本地文件。其存放的路径如下：

1.C:\Windows\Temp\temp.jpg（该文件包含一段Javascript代码）
2.C:\Windows\Temp\Windows.vbe（该文件包含一段被编码后的VB脚本）
3.C:\Program\Data\Microsoft.db（该文件包含一段被加密的有效载荷，该载荷是最后阶段释放执行）

下图为下载的powershell代码：

从上图中我们可以看到，第一个被执行的文件是“Windows.vbe”文件，该文件通过Cscript（Windows脚本宿主的一个版本，可以用来从命令行运行脚本）来执行temp.jpg中的Javascript代码，该Javascript代码被加密，解密后可以看到其功能是延迟执行另一段powershell。下图是解密后的temp.jpg中的Javascript代码：

由上图我们可以看到，这段代码只有满足“Math.round(ss) % 20 == 19”条件才会继续执行下一个恶意阶段，否则会不断的重复此过程。代码中的“ss”变量是getTime()函数的返回值，表示当前时间距 1970 年 1 月 1 日之间的毫秒数。

当条件满足后，会执行“Microsoft.db”文件，该文件中包含POWERSTATS后门程序。该后门连接的域名如下：

1.hxxp://amphira[.]com
2.hxxps://amorenvena[.]com

这些域名都指向同一个IP地址：139.162.245.200（该IP所在地为英国）。

如上图所示，POWERSTATS后门程序会进行HTTP和POST请求，该请求会连接远程服务器，并上传受害者机器的通用信息，下图为发送的受害者信息：

然后，该后门与C2进行通信，并请求操作指令。我们在分析中发现HTTP的参数“type”有以下数值，分别代表执行不同功能：

1.info：在POST请求中使用，会发送受害者机器的相关信息。
2.live：在POST请求中使用，进行ping操作。
3.cmd：POST和GET请求中使用，在POST请求中，其功能是发送最后执行的命令。在GET请求中，其功能是检索服务器中的新命令。
4.res：在POST请求中使用，功能是当恶意软件已执行后，发送该消息。

参数“id”是受害者机器的唯一标识，通过系统信息计算得出，此标识被用于创建文件，文件路径为：C:ProgramData，创建出的文件用来存储临时信息。下图是相关代码：

我们分析了Microsoft.db文件中的代码，该代码被混淆，反混淆后我们识别出POWERSTATS后门具备以下指令功能：

1.upload：恶意软件会从指定的URL下载新的文件
2.cmd：恶意软件会执行指定的命令
3.b64：恶意软件通过base64解码Powershell脚本并执行
4.muddy:恶意软件新建一个加密文件并执行，文件路径在C:ProgramDataLSASS目录下，该文件包含powershell脚本。下图是反混淆后的POWERSTATS后门代码：

持久性

为了保证自己拥有持久化的能力，该恶意软件采用了多个技术手段，比如把自己添加到注册表项：“MicrosoftWindowsCurrentVerisonRun” 下以保持开机自启动。如下图所示：

创建一个名为“MicrosoftEdge”的计划任务，该计划任务设置为每天12点开始执行。如下图所示：

三、总结
通过对MuddyWater（污水，伊朗的APT组织）组织最近的活动进行分析，我们发现了其攻击的方式和流程。包括：如何利用系统工具和脚本来实现特定目标，如何保持自身持久性，如何利用嵌入宏的文档进行攻击，并通过一些方式引诱受害者执行恶意载荷等。其整个攻击流程图如下：

四、IOC
Dropurl:

hxxp://pazazta[.com/app/icon.png
C2:

hxxp://amphira[.com
hxxps://amorenvena[.com
139.162.245.200
Hash:

294a907c27d622380727496cd7c53bf908af7a88657302ebd0a9ecdd30d2ec9d
79f2d06834a75981af8784c2542e286f1ee757f7a3281d3462590a89e8e86b5a
ae2c0de026d0df8093f4a4e2e2e4d297405f943c42e86d3fdd0ddea656c5483d
077bff76abc54edabda6b7b86aa1258fca73db041c53f4ec9c699c55a0913424
ccfdfcee9f073430cd288522383ee30a7d6d3373b968f040f89ae81d4772a7d0
本文翻译自 blog.yoroi.company， 原文链接 。如若转载请注明出处。
恶意软件 APT MuddyWater

我爱南木 分享到： QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46

Drupal SA-CORE-2019-003 远程命令执行分析
2019-02-22 11:30:15

RSAC 2019：最全大会亮点议题抢先揭秘
2019-02-22 10:32:46

Pony Loader窃密木马样本分析
2019-02-22 10:30:17
|发表评论
发表你的评论吧
昵称
Anonymous
换一个
|评论列表
还没有评论呢，快去抢个沙发吧~
我爱南木
这个人太懒了，签名都懒得写一个
文章
5
粉丝
0
TA的文章
CVE-2018-19134：通过Ghostscript中的类型混淆来远程执行代码
2019-02-18 15:30:29
TP-Link TL-R600VPN远程代码执行漏洞分析
2019-01-17 16:27:09
LibreNMS v1.46 远程代码执行 (CVE-2018-20434)
2019-01-09 10:58:48
MuddyWater感染链剖析
2018-12-10 15:30:28
快递员也会黑了你的公司？DarkVishnya银行攻击事件浅谈
2018-12-07 15:45:29
输入关键字搜索内容
相关文章
Pony Loader窃密木马样本分析
盗号木马疯狂窃取游戏币，竟还利用搜索引擎打广告？
Lucky双平台勒索者解密分析
Criakl勒索病毒分析简要
盲眼鹰（APT-C-36）：持续针对哥伦比亚政企机构的攻击活动揭露
2018年Android恶意软件专题报告
某后门病毒分析报告
热门推荐
文章目录
一、前言
二、技术分析
三、总结
四、IOC
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank