污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

栏目: Python · 发布时间: 6年前

内容简介:今年5月初,有黑客成员在Telegram渠道(Channel:GreenLeakers)披露其拥有据称APT组织MuddyWater网络攻击的证据和资料,并进行售卖。MuddyWater被普遍认为是一个来自中东地区的,长期活跃的APT组织。从2019年2月到4月,该组织发起了一系列针对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司的网络钓鱼电子邮件攻击。

背景

今年5月初,有黑客成员在Telegram渠道(Channel:GreenLeakers)披露其拥有据称APT组织MuddyWater网络攻击的证据和资料,并进行售卖。

MuddyWater被普遍认为是一个来自中东地区的,长期活跃的APT组织。从2019年2月到4月,该组织发起了一系列针对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司的网络钓鱼电子邮件攻击。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

其Web控制后台的界面:

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

以及一个其研制的渗透工具,从Banner上可以看出为muddyc3,版本号为1.0.0。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

昨日(6月24日)另外一个telegram channel泄露了一份muddyc3的源码并进行了相关拍卖。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

后续也有安全研究人员在Github上发布了相关恶意样本和反编译的源码https://github.com/0xffff0800/muddyc3,其版本同样为1.0.0。

分析

我们在了解到该muddyc3信息后,在搜索引擎进行搜索,发现了两个名为muddyc3.exe的样本。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

反编译

我们发现其中一个样本是在x64环境下的PyInstaller打包的版本,从Banner信息可以看到其版本为v1.0.1。

尝试对其进行反编译,可以利用PyInstaller的archive_viewer脚本提取对应的pyc脚本,但由于脚本运行是需要用户交互指定反编译文件名,所以可以定制代码将所需要反编译的pyc全部提取,提取后需要修复pyc的头部magic信息。或者为了方便直接使用pyinstxtractor脚本。

还原成pyc文件后,用相关反编译工具,如Easy Python Decompiler或者uncompyle6。在实际过程中,发现部分文件使用Easy Python Decompiler会出现反编译错误。另外从pyc幻数得知其编译环境是 Python 2.7版本。

最后剔除内部库,得到源码:

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

功能和代码分析

版本1.0.1和1.0.0版本从代码结构上只有少量不同,下图为入口界面截图

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

运行开始需要指定C&C服务器IP和端口,以及是否使用代理的IP。

主要实现了list,show,use和payload四个命令,而show命令在实际代码中不存在对应处理逻辑。

并且列举了一些示例初始载荷的实现方式,初始脚本载荷代码可以嵌在如文档宏等方式,而当攻击目标触发了初始脚本执行后,其会以指定路径访问控制IP。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

工具 主体是基于web.py实现的一个服务端(lib目前下其实为web.py库实现),用于和被控主机实现请求响应和命令交互,其中v1.0.0版本和v1.0.1版本的交互url路径列表不太相同。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

V1.0.0

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

V1.0.1

其主要实现像sct、hta、powershell形态的下阶段载荷和上传、下载、信息回传等,以及支持模块。

由于其打包的exe控制程序并没有包含默认的powershell载荷代码,所以无法进一步得知。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

例如这里我们尝试访问根路径。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

尝试访问/hta路径。

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

其进行了简单的字符替换和base64编码,实际为:

污水 (MuddyWater) APT组织新武器MuddyC3代码泄露分析

总结

从反编译的控制程序实现的完备性来看,应该为MuddyWater组织的早期使用版本,可以作为一个基本的后渗透框架的雏形。

奇安信威胁情报中心红雨滴团队也将继续关注相关组织的更多进展。

IOC

daa7d4c40ffaa6cf4e4708747d3a9b37

146cc97df36cb4cea39074652d069519

参考链接

https://github.com/kennethreitz-archive/pyinstaller/blob/master/ArchiveViewer.py

https://github.com/countercept/python-exe-unpacker

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Open Data Structures

Open Data Structures

Pat Morin / AU Press / 2013-6 / USD 29.66

Offered as an introduction to the field of data structures and algorithms, Open Data Structures covers the implementation and analysis of data structures for sequences (lists), queues, priority queues......一起来看看 《Open Data Structures》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具