本文的第一部分请参考：MuddyWater（污水）APT组织针对塔吉克斯坦的攻击活动的分析

通过相同的诱饵文档内容笔者关联到了一个同样针对塔吉克斯坦政府采购部门的样本，但是其C2以及自启动技术发生了变化。

根据C2:185.185.25.175笔者关联到了一个docx文件样本，其运用了远程模板注入技术,并且注入的模板中利用了cve-2017-0199漏洞。

但是由于C2已结挂了，所以无法继续分析。

1. 样本信息

诱饵文档截图:

远程模板注入技术:

1. 样本信息

与之前的样本诱饵内容完全一样。

诱饵文档内容如下:

2. 恶意宏代码

并没有之前复杂的混淆，内容很简单，主要还是通过窗体去提取VBE Loader，唯一的区别是该样本实现自启动的技术是通过在自启动文件夹中释放antibiotic.vbe。

如图所示：

3. VBE Loader

与上个样本一样的技术，这里不再赘述。

4. Recon PowerShell

基本相同的信息收集手段：

将收集好的信息以POST方式发送到：

http://185.244.149.218/game.php?NewsIID={GUID}

循环向http://185.244.149.218/JpeGDownload/{GUID}.png发送GET请求。

下载后另存为%public%\\Dri.dat。

1. 样本信息

文档截图如下：

2. 恶意宏代码

并没有之前复杂的混淆，内容很简单，主要还是通过窗体去提取VBE Loader，唯一的区别是该样本实现自启动的技术是通过在自启动文件夹中释放antibiotic.vbe。

如图所示：

3. VBE Loader

与上个样本一样的技术，这里不再赘述。

4. Recon PowerShell

基本相同的信息收集手段：

将收集好的信息以POST方式发送到http://185.244.149.218/game.php?NewsIID={GUID}

循环向http://185.244.149.218/JpeGDownload/{GUID}.png发送GET请求

下载后另存为%public%\\Dri.dat，并且执行：

1. 样本信息

诱饵样本截图：

2. 恶意宏代码

和上文一样通过读取窗口控件的标题中提取VBE loader，将其拼凑后，将拼凑好的字符串写入pKio.vbE,pKio.vbE文件位于系统自启动文件夹中，达到自启动的目的。

3. VBE loader

与上个样本一样的技术，这里不再赘述，释放Recon Powershell到%TEMP%\HTM.log文件，并且调用iex执行gc读取的代码内容。

4. Recon Powershell

去除PowerShell代码的混淆后，和之前说到的Recon PowerShell的功能大致相同：

（1）信息侦查

利用whoami去获取当前用户名称以及用户所在域名称，通过ipconfig /all获取当前用户IP地址，利用tasklist去获取进程列表，利用dir %userprofile%\\Desktop。

获取桌面上的文件信息，利用systeminfo | findstr /B /C:OS Name /C:OS Version /C:arch /C:System Model去获取系统名称、系统版本、系统位数、系统样式。

（2）发送上线报文到C2

将信息侦查的结果存入%public%\\jYtHGrrfWE.log 将其内容进行base64编码，之后利用gc命令读取jYtHGrrfWE.log中编码的内容。

以POST的方式向C2地址发送请求http://185.82.202.240/ttryeJte76.php?Tok=jKlMNtr65Vbf&newsUID={RandonName}

以POST的方式将编码后的数据发送到该C2地址。

（3）请求下一段载荷并且运行

循环向该C2地址请求http://185.82.202.240/DwnDir/下载其文件存入
%temp%\\tRLHteSw.log 文件中，并且利用iex执行gc读取的%temp%\\tRLHteSw.log的内容。

1. 样本信息

诱饵样本截图:

2. 恶意宏代码

通过从控件中提取VBE loader代码将其写入自启动文件夹下的S0NN3.VbE文件中，以达到开机启动的目的。

3. VBE loader

相同的手段，释放Recon PowerShell于%temp%\\plr.dat通过iex执行gc所读取%temp%\\plr.dat文件的内容。

4. Recon PowerShell

去除PowerShell代码的混淆后，和之前说到的Recon PowerShell的功能大致相同。

（1）信息收集

获取当前用户的所在域名称以及当前用户名、进程列表、桌面文件信息：

（2）发送上线报文到C2

将收集到的信息以POST的方式发送到：

http://185.141.27.14/trjjmfnnv.php?T=Tew39mvn21hhsy&Tw={RandomName}

（3）请求下一段载荷并且运行

循环向该C2地址请求http://185.141.27.14/Newsii/{RedomName}下载其文件存入%public%\\nvtge44.log 文件中，并且利用iex执行gc读取的%public%\\nvtge44.log的内容。

MuddyWater组织的样本并不是非常复杂,但是在分析过程中也可以抓到部分该组织攻击过程的影子。

1. 信息收集

（1）针对塔吉克斯坦某公司的简历钓鱼

笔者可以在网上搜索到有关被利用者的信息，这里笔者用一张图的形式说明：

可见攻击者充分利用了被利用者所泄露的信息，使得诱饵文档看起来更加逼真，加大攻击的成功几率。

（2）针对塔吉克斯坦电信提供商的钓鱼活动

该样本Muddywater采用了获取加利福尼亚大学在搜索引擎上使用的合法文档，并且对其进行重新的编辑，如下图所示：

将加利福尼亚大学大学的标志替换为塔吉克斯坦电信供应商的微标，将标题也做了替换，其他的部分完全相同。

2. 载荷构造

（1）代码混淆

攻击者在构造载荷的时候通常对宏以及powershell代码进行了加密，对宏的加密主要体现在Chr()以及StrReverse()函数，并且将部分关键变量藏匿于窗口控件之中。

而针对PowerShell的混淆，第一步就是一层base64，从第二层开始都有一个解密函数。

用于解密C2地址，以及释放文件的位置。并且每个脚本的解密算法都不是相同的，这里只单单给出一个例子：

（2）反沙箱

攻击者在构造载荷的时候也考虑到了沙箱对待样本的情况。由于大部分在线沙箱都在普通条件下没有重新启动的功能，故此类样本都是通过将VBE loader开机启动以绕过部分沙箱的监视。

当然这只是第一个保险，攻击者也考虑到了那些会重启的沙箱，但是每个沙箱的运行时间都受到严格的控制，

所以攻击者在执行例如发送数据到C2之前都会让脚本进行一段时间的延时，以绕过部分沙箱的行为分析。

一些看法：

MuddyWater作为一个攻击水平逐渐上升而且颇具威胁的APT组织，这对公司的防御有很大的考验，所以公司在强化员工安全意识的同时，更应该注意Anti-Virus软件以及EDR的选择。

样本MD5：

• 6cb076f1f42573c5c43083a89bcfe442(Zakupki_Agency on Public Procurement.doc) 

• 9d2da5228e21594ab46b4f5281d38b8f(aulmgr.vbe)

• 34a072f42905f9de31523616e8f207b1(UserImage.png)

• 9aaa2011a46c19d143e0d67bd66e13ce(ieee.dat)

• 3cc5e7df7e9b0b216327ae7b451b8b90(TAJIKISTAN_INCORPORATE_E-GOVERMENT.docx)

• 8b3da6c97a53188e4af2d404dea654b6(Agency_Last_Section_Document.doc) 

• 176e56a418bc4c11783d6411aef94c38(antibiotic.vbe)

• f460780c1cad15c3883868cb5050375c(USERCa.jpeg)

• 1e8afda2721eff834ed9c87371a432fe(UNDP_TJK_Agreement_ORGS.doc)

• 8eb40b005f78e4367e879bbdc6110732(Gulnoza Nurullaeva.doc

• d7b0eb2f80f415b3171651903ae74a03(pKio.Vbe)

• 2afb43542e4b0bd2e6105a1b769ff9d4(HTM.log)

• 8f416a523e272a751061f86e77b8cdad(Performance_Eval_Employee.doc)

• 6e324aa68f21e5c794f17ed70102e214(S0NN3.VbE)

• c40f77ca36bab83db36b463d2a561fbc(plr.log)

C&C(C2)

• 185.185.25.175

• 83.171.238.62

• 185.244.149.218

• 185.82.202.240

• 185.141.27.14

本文由看雪论坛 CrazymanArmy  原创

转载请注明来自看雪社区

京华结交尽奇士，意气相期矜豪纵。今夏与君相约看雪，把酒言欢，共话安全技术江湖梦。

10大议题正式公布！第三届看雪安全开发者峰会重磅来袭！