最近伊朗黑客组织MuddyWater的攻击活动似乎很频繁,twitter上的大佬隔两天就披露两三个样本。不愧是去卡巴报告下评论的嚣张大佬
还会挑衅安全研究人员,扬言要杀了分析人员
点击此处添加图片说明文字
emmm,该组织疑似来自伊朗,难道屏幕对面的黑客大佬不是穿风衣戴墨镜的Neo,而是这样的?
点击此处添加图片说明文字
想想还是有点害怕。嗯,还是来看下近期的报告。
利用WinRAR漏洞的攻击活动
微软披露利用WinRAR漏洞的攻击活动,其手法和后续后门与MuddyWate相似。
1诱饵文档
点击此处添加图片说明文字
一封据称来自阿富汗伊斯兰共和国外交部(MFA)的鱼叉式网络钓鱼邮件被发送到非常具体的目标,并要求提供“资源,电信服务和卫星地图”。该电子邮件附带一个Word文档附件。
点击此处添加图片说明文字
文档附件提示收件人从OneDrive链接下载另一个文档。使用只有链接的文档 - 没有恶意宏或嵌入对象 - 可能意味着逃避传统的电子邮件安全保护。
点击此处添加图片说明文字
单击该链接将下载包含恶意宏的Word文档Microsoft Word打开带有安全警告的文档。启用宏会启动一系列恶意操作,导致下载恶意软件负载。
点击此处添加图片说明文字
有趣的是,该文档有一个“下一页”按钮。单击该按钮会显示一条虚假消息,表示某个DLL文件丢失,并且计算机需要重新启动。这是一种社交工程技术,可确保重新启动计算机,这是运行负载所需的。(稍后会详细介绍。)
点击此处添加图片说明文字
启用宏后,恶意代码在后台执行以下操作:
从TextBox表单中提取并解码数据blob,并将其删除为C:\ Windows \ Temp \ id.png
创建恶意Visual Basic脚本(VBScript)并将其删除为C:\ Windows \ Temp \ temp.vbs
通过创建COM对象并添加自动运行注册表项来启动创建的shell对象来添加持久性
启动temp.vbs,它是解码id.png文件的恶意PowerShell命令的包装器,这会导致第二阶段PowerShell脚本高度混淆并包含多层加密(此PowerShell脚本类似于脚本已经在过去的MuddyWater活动中使用过
第二阶段PowerShell脚本收集系统信息,生成唯一的计算机ID,并将这些ID发送到远程位置。它充当后门并可以接受命令,包括:
下载任意文件
使用cmd.exe运行命令
解码base64编码的命令并使用PowerShell运行它
2技术分析
点击此处添加图片说明文字
恶意宏
此攻击中使用的高度混淆的恶意宏代码释放多个文件来运行恶意代码的独特方式。它首先从UserForm.TextBox中提取一个编码数据,然后解码并保存为C:\ Windows \ Temp \ id.png。此文件包含编码的PowerShell命令,稍后由第一阶段PowerShell脚本执行。
点击此处添加图片说明文字
恶意宏代码创建一个Excel.Application对象来编写VBScript代码
点击此处添加图片说明文字
然后运行wscript.exe启动PowerShell脚本。PowerShell脚本本身不接触硬盘,使其成为攻击链的无文件组件。使用系统上已有的资源(例如,wscript.exe)直接在内存中运行恶意代码的技术,是此攻击试图逃避检测的另一种方式。
3后门
点击此处添加图片说明文字
后门就是MuddyWater常用的powershell后门,就不在翻译了
整个攻击流程如图
点击此处添加图片说明文字
针对土耳其的攻击活动
checkpoint4月10日披露MuddyWater针对土耳其的攻击活动,其中间流程的木马采用Deiphi编写而不是powershell
1攻击连
点击此处添加图片说明文字
整个攻击流程如图所示
点击此处添加图片说明文字
2诱饵文档
点击此处添加图片说明文字
恶意Word文档名为“SPKKANUNDEĞİŞİKLİĞİGİBGÖRÜŞÜ.doc”,其大致翻译为“SPK(土耳其资本市场委员会)法律变更.doc”。该文档包含宏,并试图通过在土耳其语中显示诱饵消息来说服受害者启用其内容:
点击此处添加图片说明文字
背景中模糊的图像包含标题中提到的法律变化的看似合法的描述。此图像中突出显示的单词可能表示它是在不支持土耳其语的环境中编辑的:
点击此处添加图片说明文字
如果启用了“SPKKANUNDEĞİŞİKLİĞİGİBGÖRÜŞÜ.doc”中的宏,则会对嵌入的有效内容进行解码并保存在%APPDATA%目录中,名称为“CiscoAny.exe”。
3技术分析
点击此处添加图片说明文字
可执行文件是用Delphi编写的,用UPX打包
恶意宏并不会直接执行exe文件,而是在同一目录下释放另一个名为“CiscoTAP.inf”的文件,内容如下:
点击此处添加图片说明文字
然后,执行以下命令以运行有效负载:
点击此处添加图片说明文字
一旦执行,第一阶段创建%APPDATA%\ ID.dat,该文件包含受害者的16个字符长且随机生成的唯一标识符:
点击此处添加图片说明文字
收集有关正在运行的系统的信息,例如主机名,运行进程,物理内存,正常运行时间,语言,公共IP(使用icanhazip.com)等。将收集的信息保存到%APPDATA%\ Info.txt,收集信息也和MuddyWater常用的powershell后门类似
在数据收集之后,可执行文件释放了另一个可执行文件,也称为“CiscoAny.exe”,它被硬编码在资源中,但这次释放到%TEMP%文件夹中。
第二个可执行文件也是UPX打包并用Delphi编写:
点击此处添加图片说明文字
最后,更新上述ID.dat文件以指示感染的第一阶段已成功:
点击此处添加图片说明文字
第二个可执行文件首先检查互联网连接。它向google.com发送请求,如果连接成功,它会将先前创建的“Info.txt”的内容复制到%APPDATA%\ [UNIQUE_ID] .txt
点击此处添加图片说明文字
然后,它会将包含系统详细信息的文件POST到185.117.75 [。] 116.php:
点击此处添加图片说明文字
此请求中的名称参数(“g3t_f_465”和“t0ken”)由嵌入在可执行文件中的TFRMMAIN资源中的TclHttpRequest对象的项目确定:
点击此处添加图片说明文字
来自C&C的响应存储在%APPDATA%\ temp.dat中,并复制到%APPDATA%\ Lib.ps1中。
主可执行文件不断检查“Lib.ps1”并尝试执行其内容。
点击此处添加图片说明文字
在分析时,我们无法得到C&C的回应,但如前所述,POWERSTATS是下一阶段感染的常用工具。
4关联
点击此处添加图片说明文字
checkpoint首先以文档的相似性作为关联证据,之后使用了开源工具
VBA2Graph,创建每个文档的宏中可视化VBA调用图。能够快速注意到文件共享许多相似之处,例如它们的函数名,参数名,解密方法和通用代码流。例如,将解码的有效负载写入文件系统的函数“UFYYRJSFHX”出现在所有这些函数中。如下图所示
点击此处添加图片说明文字
点击此处添加图片说明文字
看起来很洋气的感觉。项目地址:https://github.com/MalwareCantFly/Vba2Graph,有详细的使用教程。
模板注入的攻击活动
为了逃避检测,MuddyWater增强了其武器构造,在宏代码利用样本之前加入模板注入,通过低检测率的模板注入文档拉回后续恶意宏文档执行
模板注入过杀软非常好用,VT59家杀软仅4家报道
点击此处添加图片说明文字
该样本详细分析见:https://www.freebuf.com/articles/network/199967.html
Android样本攻击
又是卡巴的威胁情报峰会,研究人员发现三个疑似与MuddyWater相关的安卓样本,其中两个可追溯到2017年12月,恶意软件执行经典的网络间谍任务,例如收集设备的联系人,呼叫日志和SMS文本消息,并可以检索Android的地理位置信息。
新闻报道:
“很明显,这是网络间谍活动,”Horejsi说。他说,Android恶意软件可能是他们可以在目标上使用的另一种间谍机制。
“他们开始感染机器,也许如果他们需要更多信息,[他们的受害者]更多地使用移动应用程序,他们会尝试安装它[Android恶意软件],”他说。
MuddyWater的基础设施历史上为涵盖指挥和控制部分30 IPS,六种不同的域名,八种不同的云服务提供商的帐户,他们在他们的攻击代理使用4100台WordPress的受损的服务器,根据趋势的调查结果。
根据Lunghi的说法,该组织成功地击败了55个不同组织的1,600多个目标。“但我们并没有看到一切,”他说,所以这可能只是MuddyWater范围的一个快照,他说。
该黑客组织最近更换了其以前的黑客WordPress网站的命令和控制基础设施。据研究人员称,这种转变可能是因为他们没有完全控制WordPress网站,并且担心这些网站可能泄漏有关MuddyWater活动和受害者的信息。
假标志和弱OPSEC
Horejsi和Lunghi发现多起袭击者冒充其他地区的黑客。攻击者用他们的后门特洛伊木马代码用中文写了评论和调试字符串,用着名的以色列人用希伯来语引用,甚至在装配文件的元数据中用俄语用户名表示,所有这些都显然是来自伊朗以外的任何地方。
他们使用三个主要的自定义后门:一个使用云服务窃取,存储和下载文件; 基于.NET的,运行PowerShell以上载和下载文件; 以及基于Delphi的捕获受害者系统信息的方法。
一旦攻击者成功放下他们的植入物,他们就会转向已知工具,如Meterpreter,Mimikatz,SMBmap以及其他IT和安全工具,以融入网络。
但MuddyWater也有点草率:它使用弱而易碎的加密技术,以及配置不当的受害服务器,最终导致Trend的研究人员找到更多的攻击受害者。
在一个案例中,他们在其中一个恶意文件中发现了一个攻击者机器的屏幕截图,这些机器暴露了其浏览器标签和其他信息。
欢迎关注威胁公众号:威胁情报小屋 了解更多黑客攻击资讯
点击此处添加图片说明文字
网友评论