土耳其出現與MuddyWater Tools非常相似的PowerShell後門

MuddyWater是一個著名的威脅攻擊組織，自2017年以來一直很活躍。其目標為中東和中亞地區，主要使用帶有惡意附件的魚叉式網路釣魚電子郵件。最近，他們與3月份針對土耳其、巴基斯坦和塔吉克機構的行動相關。

自2017年Malwarebytes率先報道他們對沙烏地阿拉伯政府進行精心的間諜攻擊以來，該組織已經露出真容。在第一份報告之後，其他安全公司對其進行了廣泛的分析。通過這一切，我們只看到他們在使用的工具、技術和程序（TTP）方面發生了很微小的變化。

但是，最近我們觀察到一些類似於已有MuddyWater TTP的傳播文檔。這些文檔名為Raport.doc或Gizli Raport.doc（標題意為土耳其語「報告」或「秘密報告」）和maliyeraporti（Gizli Bilgisi）.doc（土耳其語中的「財務（機密信息）」），所有這些文檔都是從土耳其上傳到Virus Total的。我們的分析顯示文檔釋放了一個新的後門，用PowerShell編寫了MuddyWater已有的POWERSTATS後門。但是，與之前使用POWERSTATS不同，在此次行動中，命令和控制（C&C）通信和數據傳輸是通過使用雲文件託管提供商的API完成的。

下面的屏幕截圖展示了惡意附件，這些附件偽裝成真實的、類似於典型網路釣魚文檔。其中的圖像顯示了屬於不同土耳其政府組織的模糊標識，這些標識增加了偽裝並誘使用戶相信文件是合法的。然後，文檔通知用戶它是「舊版本」並提示他們啟用宏以正確顯示文檔。如果目標受害者啟用宏，則惡意進程將繼續。

圖1. Fake Office文檔試圖讓用戶啟用惡意宏

圖2.土耳其政府機構假辦公室文檔

宏包含以base52編碼的字元串，MuddyWater之外的威脅行為者很少使用它。眾所周知，該組織使用它來編碼PowerShell後門。

啟用宏後，一個.dll文件（嵌入了PowerShell代碼）和.reg文件將被釋放到％temp％目錄中。然後宏運行以下命令：

「C:WindowsSystem32cmd.exe」 /k %windir%System32
eg.exe IMPORT %temp%B.reg

運行此註冊表文件會將以下命令添加到Run註冊表項：

rundll32 %Temp%png.dll,RunPow

圖3.運行註冊表項

我們假設RunPow代表「運行PowerShell」，並觸發嵌入.dll文件中的PowerShell代碼。PowerShell代碼有幾層混淆。第一層包含一個長base64編碼和加密代碼，其中的變數使用英語詛咒詞命名。

圖4.加密的PowerShell代碼

其他層是簡單的混淆PowerShell腳本。但最後一層是主後門。這個後門有一些類似於之前發現的Muddywater後門的功能。

首先，此後門收集系統信息並將各種信息連接成一個長字元串。獲取到的數據包括：操作系統名稱、域名、用戶名，、P地址等。每條信息之間使用分隔符「::」。

圖5.從受害者系統收集的系統信息字元串

之前的MuddyWater收集了類似的信息，但使用了不同的分隔符：

圖6.從受害者系統收集的系統信息字元串，來自舊版Muddywater後門樣本

如上所述，此版本和舊版Muddywater後門之間的另一個區別是C&C通信是通過將文件釋放到雲提供商來完成的。進一步分析時，我們看到通信方法根據目的使用名為的文件和各種擴展名。

·.cmd – 要執行的命令的文本文件

·.reg – 由myinfo函數生成的系統信息，請參見上面的截圖

·.prc – 已執行的.cmd文件的輸出，僅存儲在本地計算機上

·.res – 已執行的.cmd文件的輸出，存儲在雲存儲上的

圖7. .cmd文件內容的示例

圖8. .reg文件內容的示例

圖9. .res文件內容的示例

在舊版本的MuddyWater後門和最近的後門中，採用非同步機制，而不是直接連接到機器並發出命令。惡意軟體操作員將命令保留在.cmd文件中執行，稍後返回包含已發出命令結果的.res文件。

然而，在較舊的MuddyWater後門中，內容編碼方式不同。這些文件臨時存儲在受感染的網站上。最近的後門使用合法的雲存儲服務提供商。

可以通過用空字元串替換「00」，然後從十六進位轉換為ASCII，然後反轉字元串來解碼.res文件。下圖是圖9中解碼的.res文件。

圖10.解碼的.res文件

後門支持以下命令：

·$upload – 將文件上傳到文件託管服務

·$dispos – 刪除持久性

·$halt – exit

·$download – 從託管服務下載文件

·No prefix – 通過Invoke Expression（IEX）執行命令，這是一個在本地計算機上運行命令或表達式的PowerShell命令

根據分析，我們可以確認針對的目標是與金融和能源部門有關的土耳其政府組織。這與之前的MuddyWater活動很相似。眾所周知，這些活動針對多個土耳其政府實體。如果該組織負責這個新的後門，顯示了其如何改進和試驗新工具。

解決方案和措施

此類後門的主要傳播方式是魚叉式網路釣魚電子郵件或垃圾郵件，它們使用社交工程來操縱目標誘使受害人啟用惡意文檔。重要的是，所有機構和企業的僱主和員工都能夠識別網路釣魚攻擊，並將合法電子郵件與惡意電子郵件區分開來。意識到這些威脅及其使用的策略是有效的第一步。

IoC

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！