安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-06 00:08:00  来源:本站整理

土耳其出现与MuddyWater Tools非常相似的PowerShell后门[安全新闻]

赞助商链接



  本文“土耳其出现与MuddyWater Tools非常相似的PowerShell后门[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

MuddyWater是一个著名的威胁攻击组织,自2017年以来一直很活跃。其目标为中东和中亚地区,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近,他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。
自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来,该组织已经露出真容。在第一份报告之后,其他安全公司对其进行了广泛的分析。通过这一切,我们只看到他们在使用的工具、技术和程序(TTP)方面发生了很微小的变化。
但是,最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc(标题意为土耳其语“报告”或“秘密报告”)和maliyeraporti(Gizli Bilgisi).doc(土耳其语中的“财务(机密信息)”),所有这些文档都是从土耳其上传到Virus Total的。我们的分析显示文档释放了一个新的后门,用PowerShell编写了MuddyWater已有的POWERSTATS后门。但是,与之前使用POWERSTATS不同,在此次行动中,命令和控制(C&C)通信和数据传输是通过使用云文件托管提供商的API完成的。
下面的屏幕截图展示了恶意附件,这些附件伪装成真实的、类似于典型网络钓鱼文档。其中的图像显示了属于不同土耳其政府组织的模糊标识,这些标识增加了伪装并诱使用户相信文件是合法的。然后,文档通知用户它是“旧版本”并提示他们启用宏以正确显示文档。如果目标受害者启用宏,则恶意进程将继续。

图1. Fake Office文档试图让用户启用恶意宏

图2.土耳其政府机构假办公室文档
宏包含以base52编码的字符串,MuddyWater之外的威胁行为者很少使用它。众所周知,该组织使用它来编码PowerShell后门。
启用宏后,一个.dll文件(嵌入了PowerShell代码)和.reg文件将被释放到%temp%目录中。然后宏运行以下命令:
“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg
运行此注册表文件会将以下命令添加到Run注册表项:
rundll32 %Temp%\png.dll,RunPow

图3.运行注册表项
我们假设RunPow代表“运行PowerShell”,并触发嵌入.dll文件中的PowerShell代码。PowerShell代码有几层混淆。第一层包含一个长base64编码和加密代码,其中的变量使用英语诅咒词命名。

图4.加密的PowerShell代码
其他层是简单的混淆PowerShell脚本。但最后一层是主后门。这个后门有一些类似于之前发现的Muddywater后门的功能。
首先,此后门收集系统信息并将各种信息连接成一个长字符串。获取到的数据包括:操作系统名称、域名、用户名,、P地址等。每条信息之间使用分隔符“::”。

图5.从受害者系统收集的系统信息字符串
之前的MuddyWater收集了类似的信息,但使用了不同的分隔符:

图6.从受害者系统收集的系统信息字符串,来自旧版Muddywater后门样本
如上所述,此版本和旧版Muddywater后门之间的另一个区别是C&C通信是通过将文件释放到云提供商来完成的。进一步分析时,我们看到通信方法根据目的使用名为的文件和各种扩展名。
· .cmd – 要执行的命令的文本文件
· .reg – 由myinfo函数生成的系统信息,请参见上面的截图
· .prc – 已执行的.cmd文件的输出,仅存储在本地计算机
· .res – 已执行的.cmd文件的输出,存储在云存储上的

图7. .cmd文件内容的示例

图8. .reg文件内容的示例

图9. .res文件内容的示例
在旧版本的MuddyWater后门和最近的后门中,采用异步机制,而不是直接连接到机器并发出命令。恶意软件操作员将命令保留在.cmd文件中执行,稍后返回包含已发出命令结果的.res文件。
然而,在较旧的MuddyWater后门中,内容编码方式不同。这些文件临时存储在受感染的网站上。最近的后门使用合法的云存储服务提供商。
可以通过用空字符串替换“00”,然后从十六进制转换为ASCII,然后反转字符串来解码.res文件。下图是图9中解码的.res文件。

[1] [2]  下一页


  以上是“土耳其出现与MuddyWater Tools非常相似的PowerShell后门[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 土耳其出现与MuddyWater Tools非常相似的PowerShell后门
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .