疑似MuddyWater最新攻擊活動分析
簡介
MuddyWater是疑似來自伊朗的APT組織,主要攻擊目標為中東地區政府機構,但在近期的公開報告中顯示,18年後,中東以外的地區也陸續出現了Muddywater的活動跡象,比如土耳其,巴基斯坦等地。
該組織最早於2017年9月被MalwareBytes公開披露,同年11月paloalto披露針對中東的攻擊,並將該組織命名為MuddyWater,之後活動蹤跡開始被國內外安全機構公開披露,詳情請看參考鏈接。
MuddyWater使用誘惑性的魚叉文檔作為攻擊入口,引導用戶啟用宏,利用宏釋放後續後續Pyload進行攻擊,在早期報道中,MuddyWater主要使用powershell後門。最近卡巴稱已發現有VBS,VBA, PowerShell, VBS, VBA, Python,c#等腳本後門以及RAT木馬。
簡單TTP
根據公開情報,繪製MuddyWater簡單TTP如下:
項目類型 | 內容 |
---|---|
組織名稱 | MuddyWater |
攻擊目標 | 中東政府機構,土耳其,巴基斯坦等 |
曝光時間 | 2017年9月國外安全公司MalwareBttes披露,11月paloalto正式命名為MuddyWater。 |
攻擊平台 | PC |
攻擊入口 | 魚叉郵件,主要是帶宏的office文檔 |
惡意代碼實現 | 主要以powershell後門為主 |
樣本分析
前幾日,360威脅情報中心披露疑似MuddyWater的新攻擊樣本
到目前還沒有該樣本的具體分析報告,所以筆者在網上找到了該樣本並予以分析。
樣本信息
2-Merve_Cooperation_CV.doc樣本名稱:2-Merve_Cooperation_CV.doc
樣本MD5:8899c0dac9f6bb73ce750ae7b3250dbd
樣本來源:公開網路來源
分析環境
調試工具:dnspy
分析環境:win7 32 虛擬機
樣本分析
2-Merve_Cooperation_CV.doc
與MuddyWater之前的樣本類似,該樣本也是宏利用樣本,並帶有模糊的圖片,不過似乎該樣本在編寫時有些問題,導致無法運行,會顯示宏編譯過程過大,無法運行。
這兒筆者直接將宏拷貝出來,靜態分析,由於樣本無法進行調試,筆者只能猜測大概行為,看這個lki數組有大量數據,猜測是會執行該段數據。
經分析發現,該段數據以50 4B開頭,正好是壓縮包的頭,故將數組數據保存,用7z解壓,得到如下所示文件
GoogleUpdate.exe
該可執行文件是一個c#後門,後續主要功能已包括,所以主要分析該文件
在%appdata%目錄下創建WindowsMicrosoftFrameWork4目錄
獲取計算機用戶名,磁碟虛擬號,經base64編碼後,把編碼後的數據去除「=」「+」生成受害者唯一id
之後開始進入死循環上線流程
首先通過google檢測網路的連接性
之後從temp_gh_12.dat讀取解碼出網路地址,從該地址下獲取之後的c2
之後以」c2?root=隨機字元」 形式連接獲取字元串,若從c2獲取的字元與硬編碼的」wYbaej5avYrFb」相等,則將該c2作為後續c2
解碼執行執行一段powershell代碼獲取計算機用戶,用戶所在的組,已安裝應用,ip等信息
獲取計算機id,用戶名,ip等信息,base64加密後保存到%appdata%WindowsMicrosoftFrameWork4id_bW1fRDIyM0I1QjI」中,並將該文件上傳到c2
若c2返回為true,則退出第一輪上線死循環,進入後續命令分發死循環中
該樣本只支持上傳文件,下載文件兩種功能
IOC
https://www.jsonstore.io/4de4d6d84d17638b3cd0eaf18857784aff27501be7d3dd89fad2b7ac2134f52e「
http://shopcloths.ddns.net/users.php?
http://getgooogle.hopto.org/users.php?
聯
雖然這次宏利用樣本後續是c#後門,不是MudddyWater常用的powershell後門,但根據其宏代碼,以及誘餌文檔內容等都與MuddyWater手法類似,且360威脅情報中心都披露了,那應該是沒跑了。以下是一些與MuddyWater相似的代碼
設置啟動項:
宏代碼:
總結
近年來,威脅情報越發的火爆,各類APT組織也陸續被國內外安全廠商披露,MuddyWater作為17年就被披露的組織,非但沒有停止攻擊,反而越發的動作頻繁,從最初的針對中東地區,到現在的各個地區都出現了該組織的活動跡象,且該組織似乎異常高調,在卡巴斯基的年度報告下,muddywater似乎嫌卡巴將其排名放在後面,還在報告下評論,如下圖所示
參考:
https://www.freebuf.com/articles/web/165061.html
https://www.colabug.com/4902862.html
https://securelist.com/muddywater/88059/
*本文作者:fuckgod,本文屬 FreeBuf原創獎勵計劃,未經許可禁止轉載。
※我的信息搜集之道
※WordPress插件WooCommerce任意文件刪除漏洞分析
TAG:FreeBuf |