MuddyWater是一個早已名聲在外的網絡犯罪組織,自2017年以來一直很活躍。其目標羣體遍佈中東和中亞,主要的***手段是使用帶有惡意附件的魚叉式釣魚電子郵件。最近,該組織被發現與今年3月份針對土耳其、巴基斯坦和塔吉克斯坦的一場***活動有關。
自2017年Malwarebytes首次在報告中指出MuddyWater針對沙特政府實施了精心策劃的間諜***以來,該組織就引發了廣泛的關注。在首份報告發布之後,其他一些安全公司也陸續對其進行了分析。但基於所有這些報告,趨勢科技表示,他們也只是看到了該組織所使用的工具、技術和過程(TTP)的微小變化。
最近,趨勢科技再次觀察到了一些使用了類似於已知的MuddyWater TTP的有趣交付文檔。這些文檔被命名爲Raport.doc或Gizli Raport.doc (土耳其語,意爲“報告”或“機密報告”)和maliyeraporti(Gizli Bilgisi).doc(土耳其語,“財務(機密信息)”)——所有這些文檔都是從土耳其上傳到Virus Total的。趨勢科技的分析顯示,該組織投遞了一個採用PowerShell編寫的新後門,類似於已知的MuddyWater後門——POWERSTATS。但是,與早前使用POWERSTATS的***活動不同,在新的活動中,命令和控制(C&C)通信和數據轉移是通過使用雲存儲服務提供商的API來完成的。
技術分析
下圖展示的是在新活動中使用的惡意附件,類似於其他任何典型的釣魚文檔,試圖僞裝成合法文檔。內容經過模糊處理的釣魚文檔包含了一些被趨勢科技認定爲屬於某些土耳其政府機構的logo,用於強化僞裝並誘使用戶相信這些文檔是合法的。釣魚文檔告訴用戶,它是基於“舊版本”的Microsoft Word創建的,並提示用戶啓用宏來顯示內容。如果目標受害者啓用了宏,那麼惡意***則將繼續。
圖1. 虛假Office文檔試圖誘使用戶啓用惡意宏。包含不同土耳其政府實體的logo
圖2.一份類似的虛假Office文檔使用了一家與稅收相關的土耳其政府機構的logo
宏包含以base52編碼的字符串。需要指出的是,除了MuddyWater之外,base52很少被其他網絡犯罪組織所使用。衆所周知,該組織通常會使用base52來編碼他們的PowerShell後門。
在啓用宏之後,一個.dll文件(內嵌PowerShell代碼)和一個.reg文件將被放入到%temp%目錄中。然後,宏將運行以下命令:
“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg
運行此註冊表文件,會導致以下命令被添加到Run註冊表項:
rundll32 %Temp%\png.dll,RunPow
圖3. Run註冊表項
趨勢科技認爲,RunPow代表的就是“run PowerShell”,並會觸發內嵌在.dll文件中的PowerShell代碼。PowerShell代碼包含多個混淆層,其中第一層包含一段經base64編碼和加密的長代碼,其中的變量使用英語髒話命名。
圖4.經加密的PowerShell代碼
其他的層都是簡單的、經過混淆處理的PowerShell腳本,而最後一層則是主後門的主體。這個後門具備一些類似於早前發現的Muddywater後門的特徵。
首先,這個後門會收集系統信息,並將各種信息連接成一個長字符串。每一種信息均以“::”分隔,其中包括操作系統名稱、域名、用戶名、IP地址等。
圖5.由從受害者系統收集的系統信息構成的字符串
早前的MuddyWater後門也收集了類似的信息,但使用了不同的分隔符:
圖6. 由早前的Muddywater後門樣本從受害者系統收集的系統信息構成的字符串
如上所述,這個新後門與早前的Muddywater後門之間的另一個區別是C&C通信是通過將文件放到雲存儲服務來完成的。進一步的分析顯示,通信函數所使用的文件採用的格式爲“md5(硬盤序列號)+各種擴展名”,具體採用哪種擴展名取決於該文件的用途。
.cmd-帶有一個將要執行的命令的文本文件
.reg-由myinfo()函數生成的系統信息,請參考上面的截圖
.prc-.cmd文件執行後的輸出,僅存儲在本地計算機上
.res-.cmd文件執行後的輸出,存儲在雲存儲中
圖7. .cmd文件內容的示例
圖8. .reg文件內容的示例
圖9. .res文件內容的示例
在這個新後門和早前的MuddyWater後門中,這些文件被用作一種異步機制,而不是直接連接到設備併發出命令。***者將一個將要執行的命令保存在.cmd文件中,然後反過來檢索包含命令執行結果的.res文件。
對於新後門和早前的MuddyWater後門而言,.res文件內容的編碼方式也是不同的。另一方面,對於早前的MuddyWater後門而言,這些文件會被臨時存儲在受感染的網站上,而對於新後門而言,它使用了合法的雲存儲服務。
我們可以通過將“00”替換爲空字符串,然後將其從十六進制轉換爲ASCII,最後對字符串進行反編譯來解碼.res文件。下圖展示的是對圖9中的.res文件進行解碼後的結果。
圖10.解碼後的.res文件
新後門支持以下命令:
$ upload-將文件上傳到雲存儲服務
$ dispos-移除持久性
$ halt-退出
$ download-從雲存儲服務下載文件
無前綴-通過Invoke Expression(IEX)執行命令,這是一個PowerShell命令,用於在本地計算機上運行命令或表達式。
趨勢科技表示,其分析顯示這場***活動的目標是與金融和能源部門有關的土耳其政府機構。它與早前另一場針對了多個土耳其政府實體的MuddyWater活動存在一些相似之處。如果這個後門的確來自該組織,那麼它則有助於揭露該組織是如何改進和測試他們的新工具的。
解決方案和建議
此類後門的主要交付方式是藉助魚叉式網絡釣魚電子郵件或垃圾郵件,***者往往會使用社會工程來誘使目標用戶打開惡意文檔。因此,對於任何組織或企業的僱主和僱員來說,能夠識別網絡釣魚***並將合法電子郵件與惡意電子郵件區分開來都是極爲重要的。意識到這些威脅及其使用的策略,是有效避免遭受其害的第一步。
除了對網絡釣魚和社會工程必要的認識和意識之外,準備好有效的分層安全解決方案也很重要。