内容简介:MuddyWater是疑似来自伊朗的APT组织,主要攻击目标为中东地区政府机构,但在近期的公开报告中显示,18年后,中东以外的地区也陆续出现了Muddywater的活动迹象,比如土耳其,巴基斯坦等地。(详细信息见上篇文章)近日,国外安全厂商披露了三个新的MuddyWater攻击样本:
*本文原创作者:fuckgod,本文属于FreeBuf原创奖励计划,未经许可禁止转载
简介
MuddyWater是疑似来自伊朗的APT组织,主要攻击目标为中东地区政府机构,但在近期的公开报告中显示,18年后,中东以外的地区也陆续出现了Muddywater的活动迹象,比如土耳其,巴基斯坦等地。(详细信息见上篇文章)
近日,国外安全厂商披露了三个新的MuddyWater攻击样本:
但并未写相关分析文章,笔者就用以分析学习^_^。
样本信息
样本md5 | a066f5b93f4ac85e9adfe5ff3b10bc28 |
---|---|
作者信息 | Gladiator |
样本来源 | https://app.any.run/tasks/4c62f53f-268f-4669-aa78-7b01f55fa15e |
分析环境
分析环境 | Win7 32 虚拟机 |
---|---|
调试工具 | Powershell ise |
样本分析
样本似乎采用了模板注入,运行后,即从 http://corplink.com.pk/wp-content/themes/buisson/16433.jpg 下载一个宏样本:
此类利用方法可以有效的绕过一些杀软检测,VT59家杀软仅4家报毒:
之后便是MuddyWater组织一贯的老套路,利用模糊的诱饵性图片诱导用户启用宏:
当受害者启用宏后,恶意宏代码即会执行,部分宏代码隐藏在窗体中:
攻击者很鸡贼的故意弹出错误提示,ofiice版本不对,以误导受害者,emmm…这也是MuddyWater的老套路了。
宏代码后续指令写入注册表HKEY_CURRENT_USER\Software\Classes\CLSID\{*}\Shell\Manage\command,并在启动项下写入该数据,也就是只有当受害者重启或者重新登录后续的恶意行为才会执行,这可能是为了绕过某些沙箱。
之后将配置文件释放到c:\windows\temp\下,其中icon.ico主要用于启动后续powershell指令:
Powershell命令经base64编码,解码后如下:
获取配置文件picture.jpg的内容,base64解码后,再经解密后执行,接下的工作就是漫长的去混淆的过程,将iex命令替换为输出等命令,解了23层混淆(想哭,各位大佬有没有快速的方法,谢谢告知),最后解混淆的代码如下:
解密后的文件是muddywater常用的POWERSTATS后门。
首先获取系统基本信息,计算机系统名、计算机名、用户名以及IP,公网IP等信息:
之后以“**”将这些信息格式化成字符串,并使用md5对格式化的字符串进行加密。
再次获取系统基本信息,加密信息,加密方法如下:
与c2: http://gladiyator.tk/None 通信,发送通信数据,若返回“done”则继续后续:
之后将md5加密的数据发往c2获取功能命令执行:
将返回的指令以~~!!~~分割后,进入命令分发,命令分发函数如下:
命令 | 功能 |
---|---|
Upload | 从给定地址下载文件保存到c:\programdata\ |
Cmd | 利用cmd执行命令,返回结果 |
B64 | 利用IEX执行base64解码后的指令,返回结果 |
其他 | 直接利用iex执行命令,返回结果 |
之后将执行结果发往c2。
关联溯源
外国大佬都说MuddyWater了,应该就石锤了,就假装关联一下,此次样本利用了MuddyWater常用的手法,模糊图片诱导用户启用宏,只是加了一次模板注入用以绕过杀软,手法更厉害了。后续木马是MuddyWater组织常用的POWERSTATS后门:
和之前相同的加密key:
Ioc
Md5
a066f5b93f4ac85e9adfe5ff3b10bc28 8a004e93d7ee3b26d94156768bc0839d f12bab5541a7d8ef4bbca81f6fc835a3
cc
参考连接
https://www.freebuf.com/articles/network/199008.html
*本文原创作者:fuckgod,本文属于FreeBuf原创奖励计划,未经许可禁止转载
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 对抗攻击之利用水印生成对抗样本
- 2018 Geekpwn 对抗样本人脸识别攻击
- 基于梯度扰动探索对抗攻击与对抗样本
- 针对越南APT攻击样本深度分析
- 每年1.2亿新恶意样本:每次攻击都是零日攻击时代
- 国内企业遭遇勒索软件攻击事件及相关样本分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Numerical Methods and Methods of Approximation in Science and En
Karan Surana / CRC Press / 2018-10-31
ABOUT THIS BOOK Numerical Methods and Methods of Approximation in Science and Engineering prepares students and other readers for advanced studies involving applied numerical and computational anal......一起来看看 《Numerical Methods and Methods of Approximation in Science and En》 这本书的介绍吧!