歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用新型反檢測技術:與MuddyWater相關的BlackWater惡意活動分析

來源:本站整理 作者:佚名 時間:2019-05-29 TAG: 我要投稿

Cisco Talos團隊近期發現名為“BlackWater”的惡意活動與可疑的持續威脅組織MuddyWater相關聯。在2019年4月,我們開始監測到新型樣本,并對其進行分析,結果表明攻擊者已經在常規的運營活動中添加了三個不同的步驟,允許惡意軟件繞過某些安全控制,并且MuddyWater的策略、技術和流程(TTPs)已經發展到逃避檢測階段。一旦成功,該惡意軟件系列會將基于PowerShell的后門安裝到受害者的計算機上,從而為威脅參與者提供遠程訪問的權限。盡管新型惡意活動表明,威脅參與者正在采取措施來提高其運營過程的安全性,并盡可能逃避終端檢測,但我們發現其基礎代碼仍然保持不變。本文中所描述的分析成果將有助于威脅分析團隊識別MuddyWater最新的TTP。
在最新的惡意活動中,威脅行為者首先添加了一個經過混淆后的Visual Basic for Applications(VBA)腳本,通過創建注冊表項的方式來建立持久性。接下來,該腳本將觸發PowerShell Stager,可能是為了偽裝成紅方工具,而不會被認為是高級威脅。隨后,Stager將與一個威脅行為者控制的服務器進行通信,以獲得FruityC2代理腳本的一個組件,這是GitHub上的一個開源框架,可以進一步枚舉主機。這樣一來,威脅參與者就可以監控Web日志,并確定未參與活動的某人是否向其服務器發出請求以嘗試調查該活動。一旦枚舉命令運行,代理將與不同的C2進行通信,并在URL字段中發回數據。這樣一來,基于主機的檢測將會變得更加困難,因為這一過程中并不會生成易于識別的“errors.txt”文件。威脅參與者還采取了額外的步驟來替換近期最新樣本中的一些變量字符串,這可能是為了避免根據Yara規則進行基于簽名的檢測。
在近幾個月內觀察到的相關惡意樣本顯示,惡意活動的復雜程度不斷增加。一些疑似與MuddyWater相關的樣本表明,在2019年2月至3月期間,威脅參與者在受感染的主機上創建了持久性,并使用PowerShell命令枚舉受害者的主機IP地址以及命令與控制(C2)服務器的IP地址。所有這些組件都包含在木馬化的附件里,因此安全人員只需獲得文檔的樣本,即可發現攻擊者的TTP。與之相比,4月發生的惡意活動需要采取多步驟的調查方法。
BlackWater文檔分析
Talos團隊發現有證據表明惡意樣本疑似與惡意組織MuddyWater有關。MuddyWater自2017年11月起至今一直活躍,并且主要針對中東地區的實體。我們有一定證據判斷,這些文件是通過網絡釣魚電子郵件的方式發送給受害者的。其中的一個木馬文件創建于2019年4月23日,其原始文件的標題是“company information list.doc”。

文檔打開后,它會提示用戶啟用名稱為“BlackWater.bas”的宏。威脅行為者對宏添加了密碼保護,如果用戶試圖在Visual Basic中查看宏,可能會發現該宏無法訪問,這可能是一種防逆向技術。威脅行為者使用了替換密碼對“blackWater.bas”宏進行了混淆,并使用相應的整數來替換字符。
宏運行時的截圖:

該宏中包含一個PowerShell腳本,可以在“運行”注冊表項KCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemTextEncoding中添加條目,從而保證持久性。然后腳本每300秒調用一次文件“\ProgramData\SysTextEnc.ini”。SysTextEnc.ini的明文版本似乎是一個輕量級的Stager。
從文檔中找到的Stager的屏幕截圖:

隨后,Stager連接位于hxxp://38[.]132[.]99[.]167/crf.txt的威脅行為者控制的C2服務器。crf.txt文件的明文版本非常類似于MuddyWater組織在以土耳其的Krudish政治組織為目標時使用的PowerShell代理。下面的截圖中展示了PowerShell木馬的前幾行。攻擊者做了一些微小的改動,例如:修改變量名以避免Yara檢測,將命令結果發送到URL中的C2而不是直接將它們寫入文件。但是,盡管有上述這些改動,但惡意軟件的基本功能仍然是幾乎沒有變化。值得注意的是,用于枚舉主機的許多PowerShell命令似乎是從名為FruityC2的GitHub項目中派生出來的。
針對Krudish政治組織發起攻擊的惡意文檔中嵌入的PowerShell腳本:

來自威脅行為者所控制服務器的PowerShell腳本:

這一系列命令,首先會向C2服務器發送hello消息,然后每隔300秒發送一次后續的hello消息。該信標的一個示例是“hxxp://82[.]102[.]8[.]101:80/bcerrxy.php?rCecms=BlackWater”。值得注意的是,木馬化惡意文檔的宏也被稱為“BlackWater”,并且該值“BlackWater”也被以硬編碼的格式寫入到PowerShell腳本中。
接下來,該腳本將枚舉受害者的主機。大多數PowerShell命令都會調用Windows Management Instrumentation(WMI),然后查詢如下信息:
1. 操作系統的名稱(即主機名稱);
2. 操作系統的OS架構;
3. 操作系統

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 一款可以赚钱的手机试玩应用 股票行情今天涨停股票 海岛大亨5 冷战赚钱 批发市场靠什么赚钱 过年卖什么用的赚钱 错过的暴利赚钱 在迅雷发视频赚钱 魔兽怎么挂机赚钱快 如何买股票 摄影原图raw上传能赚钱么 网易手游好赚钱不 什么应用打字也能赚钱的软件 现在哪个理财赚钱快 股票推荐分析 哲学赚钱哪类 演讲赚钱最快的方法搞笑演讲