freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

继美国网络司令部披露后:MuddyWater近期攻击活动总结
2022-01-17 17:43:53

概述

新年伊始,各大APT组织一直频繁出圈,其中中东地区的APT组织也异常活跃。先有APT35 (由中东地区某国政府支持的APT组织)利用 Log4j 2漏洞分发模块化的PowerShell工具包[1],再有美国网络司令部披露MuddyWater在全球网络中使用的多个开源工具[2],以及不少安全研究员在社交平台上进行披露中东地区的攻击样本,都表明在随着2022新年的到来,中东方向的APT组织活动非但没有减弱,反而愈发地强烈起来。

奇安信威胁情报中心下属的红雨滴团队一直致力于追踪全球各大APT组织的攻击活动,其中MuddyWater也是我们的重点关注对象。该组织于2017 年 2 月被Unit42披露并命名,现业界普遍认为MuddyWater 是中东地区某国家情报和安全部 (MOIS) 的下属部门,其主要针对中东国家,也针对欧洲和北美国家。

MuddyWater组织的攻击通常始于向组织发送有针对性的电子邮件,然后从该组织内受感染的系统中窃取合法文件,然后将其武器化并分发给其他受害者。其攻击的特点是善于使用高度混淆的PowerShell后门,被称为POWERSTATS。 MuddyWater自被披露以来一直活跃,不断有安全公司披露相关新样本及其后门新变种,其攻击TTP也在不断更新[3]

本文将对近期MuddyWater的攻击战术进行一个分析,以及MuddyWater使用PowGoop变种木马的一个攻击链还原。

攻击战术分析

鱼叉攻击

通过社交平台对MuddyWater情报的披露[4],MuddyWater近期使用的攻击样本与以往没有较大的变化,皆使用携带恶意宏代码的诱饵文件,通过模糊背景来诱导受害者点击启用宏,样本基本信息如下:

文件名

MD5

yeni yönerge.doc

d98cd6a09d0af803b68354f0db432e30

projectvp[]n.doc

c9ab403bd43649b5fd57efac4bf83b7c

payload_1.bin

748ae5af58e52e940ab806bdbbe61c4c

dsfsdf.doc

5c0db4b48129acc977e26de7daed6b49

asasasas.doc

18b81ebc88b7350a8ac12840f22c76b0

初始感染始于启用宏的Office 97-2003 Word文件,其诱饵内容如下:

1642412438_61e539966b3462fd05274.png!small?1642412439760

宏代码中主要负载部分进行了混淆加密,其宏的主要功能在启动目录下释放并执行vbs脚本。

1642412449_61e539a1618d6ff0b18b1.png!small?1642412449902

释放的VBS脚本主要功能是获取当前感染者的信息并上传,然后循环从C2获取响应执行后续操作。

1642412455_61e539a71d0e3a93cccd1.png!small?1642412455816

劫持执行流程:DLL侧载

DLL侧加载一直以来都是一种百用不厌的网络攻击方法,其具有一定的免杀效果,较为隐蔽,一般在企业中比较难以发现。PowGoop特马正是利用白程序来加载其恶意DLL文件,并且后续载荷全都加密处理,整个过程分为多阶段加载并解密,因此其攻击套件免杀效果也较为可观。由美国网络司令部披露的被劫持DLL列表如下:

文件名

MD5

Goopdate.dll

a27655d14b0aabec8db70ae08a623317

libpcre2-8-0.dll

860f5c2345e8f5c268c9746337ade8b7

vcruntime140.dll

cec48bcdedebc962ce45b63e201c0624

初始的攻击链会使用合法的GoogleUpdate.exe 将恶意goopdate.dll二进制文件加载到内存中。然后恶意goopdate.dll使用系统文件Rundll32.exe来执行goopdate.dll的导出函数DllRegisterServer。

1642412466_61e539b2a2c5a42c96074.png!small?1642412467283

导出函数DllRegisterServer则会将加密的goopdate.dat加载在内存中并将其解密。

1642412471_61e539b79218ab04ecaad.png!small?1642412472181

goopdate.dat的文件内容一部分为Shellcode代码,另一部分为加密的 PE文件,该PE文件主要功能是使用硬编码字符串拼接出对config.txt文件进行去混淆的PowerShell脚本并执行。

1642412477_61e539bd0069c2ece4bc1.png!small?1642412477447

其脚本内容使用改进的Bsae64进行解码,这与MuddyWater擅用的PowerShell相关联,其执行的PowerShell脚本如下所示:

1642412483_61e539c33aeb6bcaeff4e.png!small?1642412483641

由于缺失对应的config.txt文件,我们只能使用披露的其他config.txt来进行攻击还原[5]。其执行的PowerShell脚本如下:

1642412491_61e539cbb017c63fc2d75.png!small?1642412492923

解码后可以很明确的看到其行为,首先和C2进行通信,获取其响应内容。

1642412496_61e539d068f40fec5a1b6.png!small?1642412496863

当有内容返回时,先进行解码,然后在执行。

1642412506_61e539da572bdae33a206.png!small?1642412506730

其执行的内容可由MuddyWater组织编码后进行下发,使其成为一个潜在的后门。综上所述,MuddyWater组织通过利用 Google 的更新服务,侧载goopdate.dll,多级分段加载后续载荷,以此来掩盖与C2服务器的通信。

总结

随着中东区域局势的演变,APT攻击变得愈加复杂,互相刺探情报的间谍活动也进一步增多。为了避免被检测和保证攻击成功,MuddyWater的TTP也不断升级,从最初单一的POWERSTATS后门逐渐多元化,发展出Python、C#和PowerShell开发的RAT,甚至于包括Android平台的恶意软件。

MuddyWater一直以来擅长使用社会工程学进行鱼叉式网络钓鱼邮件攻击,如今又新增使用DLL侧载的技术,其恶意软件组件在内存中分级解密加载,使得杀软对单一的加密组件进行查杀更加困难。因此奇安信红雨滴团队提醒广大用户,注意辨别未知文件,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。

IOCs

MD5

d98cd6a09d0af803b68354f0db432e30

c9ab403bd43649b5fd57efac4bf83b7c

748ae5af58e52e940ab806bdbbe61c4c

5c0db4b48129acc977e26de7daed6b49

18b81ebc88b7350a8ac12840f22c76b0

a27655d14b0aabec8db70ae08a623317

860f5c2345e8f5c268c9746337ade8b7

cec48bcdedebc962ce45b63e201c0624

IP

192.210.191.188:80

192.227.147.152

107.174.68.60

185.117.73.74

参考链接

[1] https://research.checkpoint.com/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular-powershell-toolkit/

[2] https://www.cybercom.mil/Media/News/Article/2897570/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/

[3] https://ti.qianxin.com/apt/detail/5b0d2e66596a10001cde7c79?name=MuddyWater&type=map

[4] https://twitter.com/ShadowChasing1/status/1475819281648553986

[5] https://www.virustotal.com/gui/user/CYBERCOM_Malware_Alert/comments


本文作者:, 转载请注明来自FreeBuf.COM

# MuddyWater # 中东地区
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑