欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

土耳其出现与MuddyWater Tools非常相似的PowerShell后门

来源:本站整理 作者:佚名 时间:2018-12-05 TAG: 我要投稿

MuddyWater是一个著名的威胁攻击组织,自2017年以来一直很活跃。其目标为中东和中亚地区,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近,他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。
自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来,该组织已经露出真容。在第一份报告之后,其他安全公司对其进行了广泛的分析。通过这一切,我们只看到他们在使用的工具、技术和程序(TTP)方面发生了很微小的变化。
但是,最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc(标题意为土耳其语“报告”或“秘密报告”)和maliyeraporti(Gizli Bilgisi).doc(土耳其语中的“财务(机密信息)”),所有这些文档都是从土耳其上传到Virus Total的。我们的分析显示文档释放了一个新的后门,用PowerShell编写了MuddyWater已有的POWERSTATS后门。但是,与之前使用POWERSTATS不同,在此次行动中,命令和控制(C&C)通信和数据传输是通过使用云文件托管提供商的API完成的。
下面的屏幕截图展示了恶意附件,这些附件伪装成真实的、类似于典型网络钓鱼文档。其中的图像显示了属于不同土耳其政府组织的模糊标识,这些标识增加了伪装并诱使用户相信文件是合法的。然后,文档通知用户它是“旧版本”并提示他们启用宏以正确显示文档。如果目标受害者启用宏,则恶意进程将继续。

图1. Fake Office文档试图让用户启用恶意宏

图2.土耳其政府机构假办公室文档
宏包含以base52编码的字符串,MuddyWater之外的威胁行为者很少使用它。众所周知,该组织使用它来编码PowerShell后门。
启用宏后,一个.dll文件(嵌入了PowerShell代码)和.reg文件将被释放到%temp%目录中。然后宏运行以下命令:
“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg
运行此注册表文件会将以下命令添加到Run注册表项:
rundll32 %Temp%\png.dll,RunPow

图3.运行注册表项
我们假设RunPow代表“运行PowerShell”,并触发嵌入.dll文件中的PowerShell代码。PowerShell代码有几层混淆。第一层包含一个长base64编码和加密代码,其中的变量使用英语诅咒词命名。

图4.加密的PowerShell代码
其他层是简单的混淆PowerShell脚本。但最后一层是主后门。这个后门有一些类似于之前发现的Muddywater后门的功能。
首先,此后门收集系统信息并将各种信息连接成一个长字符串。获取到的数据包括:操作系统名称、域名、用户名,、P地址等。每条信息之间使用分隔符“::”。

图5.从受害者系统收集的系统信息字符串
之前的MuddyWater收集了类似的信息,但使用了不同的分隔符:

图6.从受害者系统收集的系统信息字符串,来自旧版Muddywater后门样本
如上所述,此版本和旧版Muddywater后门之间的另一个区别是C&C通信是通过将文件释放到云提供商来完成的。进一步分析时,我们看到通信方法根据目的使用名为的文件和各种扩展名。
· .cmd – 要执行的命令的文本文件
· .reg – 由myinfo函数生成的系统信息,请参见上面的截图
· .prc – 已执行的.cmd文件的输出,仅存储在本地计算机上
· .res – 已执行的.cmd文件的输出,存储在云存储上的

图7. .cmd文件内容的示例

图8. .reg文件内容的示例

图9. .res文件内容的示例
在旧版本的MuddyWater后门和最近的后门中,采用异步机制,而不是直接连接到机器并发出命令。恶意软件操作员将命令保留在.cmd文件中执行,稍后返回包含已发出命令结果的.res文件。
然而,在较旧的MuddyWater后门中,内容编码方式不同。这些文件临时存储在受感染的网站上。最近的后门使用合法的云存储服务提供商。
可以通过用空字符串替换“00”,然后从十六进制转换为ASCII,然后反转字符串来解码.res文件。下图是图9中解码的.res文件。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载