歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

APT組織污水(MuddyWater)新武器MuddyC3代碼泄露與分析

來源:本站整理 作者:佚名 時間:2019-06-25 TAG: 我要投稿

今年5月初,有黑客成員在Telegram渠道(Channel:GreenLeakers)披露其擁有據稱APT組織MuddyWater網絡攻擊的證據和資料,并進行售賣。
MuddyWater被普遍認為是一個來自中東地區的,長期活躍的APT組織。從2019年2月到4月,該組織發起了一系列針對土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育機構、金融、電信和國防公司的網絡釣魚電子郵件攻擊。

其Web控制后臺的界面:

以及一個其研制的滲透工具,從Banner上可以看出為muddyc3,版本號為1.0.0。

昨日(6月24日)另外一個telegram channel泄露了一份muddyc3的源碼并進行了相關拍賣。

后續也有安全研究人員在Github上發布了相關惡意樣本和反編譯的源碼https://github.com/0xffff0800/muddyc3,其版本同樣為1.0.0。
 
分析
我們在了解到該muddyc3信息后,在搜索引擎進行搜索,發現了兩個名為muddyc3.exe的樣本。

反編譯
我們發現其中一個樣本是在x64環境下的PyInstaller打包的版本,從Banner信息可以看到其版本為v1.0.1。
嘗試對其進行反編譯,可以利用PyInstaller的archive_viewer腳本提取對應的pyc腳本,但由于腳本運行是需要用戶交互指定反編譯文件名,所以可以定制代碼將所需要反編譯的pyc全部提取,提取后需要修復pyc的頭部magic信息。或者為了方便直接使用pyinstxtractor腳本。
還原成pyc文件后,用相關反編譯工具,如Easy Python Decompiler或者uncompyle6。在實際過程中,發現部分文件使用Easy Python Decompiler會出現反編譯錯誤。另外從pyc幻數得知其編譯環境是Python 2.7版本。
最后剔除內部庫,得到源碼:

功能和代碼分析
版本1.0.1和1.0.0版本從代碼結構上只有少量不同,下圖為入口界面截圖

運行開始需要指定C&C服務器IP和端口,以及是否使用代理的IP。
主要實現了list,show,use和payload四個命令,而show命令在實際代碼中不存在對應處理邏輯。
并且列舉了一些示例初始載荷的實現方式,初始腳本載荷代碼可以嵌在如文檔宏等方式,而當攻擊目標觸發了初始腳本執行后,其會以指定路徑訪問控制IP。

該工具主體是基于web.py實現的一個服務端(lib目前下其實為web.py庫實現),用于和被控主機實現請求響應和命令交互,其中v1.0.0版本和v1.0.1版本的交互url路徑列表不太相同。

V1.0.0

V1.0.1
其主要實現像sct、hta、powershell形態的下階段載荷和上傳、下載、信息回傳等,以及支持模塊。
由于其打包的exe控制程序并沒有包含默認的powershell載荷代碼,所以無法進一步得知。

例如這里我們嘗試訪問根路徑。

嘗試訪問/hta路徑。

其進行了簡單的字符替換和base64編碼,實際為:

總結
從反編譯的控制程序實現的完備性來看,應該為MuddyWater組織的早期使用版本,可以作為一個基本的后滲透框架的雛形。
奇安信威脅情報中心紅雨滴團隊也將繼續關注相關組織的更多進展。
 
IOC
daa7d4c40ffaa6cf4e4708747d3a9b37
146cc97df36cb4cea39074652d069519
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 商务座赚钱还是二等座 卖水果最赚钱吗 现在开副食店赚钱吗 线上任务赚钱的平台 Soho能赚钱吗 支付宝里面买黄金怎么赚钱 会员代理赚钱吗 趣头条赚钱是真的假的 小城市做日租房赚钱吗 炒股搞笑图片 老公赚钱老婆花铃声 m4r 关于股票配资的帖子 中国成立时什么最赚钱 微店的分享赚钱是什么软件下载 聊天打字赚钱的aqq 亚泰坊 吗l链我投资了 能赚钱