疑似MuddyWater黑客組織在針對土耳其政府的攻擊中使用了新後門
MuddyWater是一個早已名聲在外的網路犯罪組織,自2017年以來一直很活躍。其目標群體遍佈中東和中亞,主要的攻擊手段是使用帶有惡意附件的魚叉式釣魚電子郵件。最近,該組織被發現與今年3月份針對土耳其、巴基斯坦和塔吉克的一場攻擊活動有關。
自2017年Malwarebytes首次在報告中指出MuddyWater針對沙特政府實施了精心策劃的間諜攻擊以來,該組織就引發了廣泛的關注。在首份報告發布之後,其他一些安全公司也陸續對其進行了分析。但基於所有這些報告,趨勢科技表示,他們也只是看到了該組織所使用的工具、技術和過程(TTP)的微小變化。
最近,趨勢科技再次觀察到了一些使用了類似於已知的MuddyWater TTP的有趣交付文件。這些文件被命名為Raport.doc或Gizli Raport.doc (土耳其語,意為“報告”或“機密報告”)和maliyeraporti(Gizli Bilgisi).doc(土耳其語,“財務(機密資訊)”)——所有這些文件都是從土耳其上傳到Virus Total的。趨勢科技的分析顯示,該組織投遞了一個採用PowerShell編寫的新後門,類似於已知的MuddyWater後門——POWERSTATS。但是,與早前使用POWERSTATS的攻擊活動不同,在新的活動中,命令和控制(C&C)通訊和資料轉移是通過使用雲端儲存服務提供商的API來完成的。
技術分析
下圖展示的是在新活動中使用的惡意附件,類似於其他任何典型的釣魚文件,試圖偽裝成合法文件。內容經過模糊處理的釣魚文件包含了一些被趨勢科技認定為屬於某些土耳其政府機構的logo,用於強化偽裝並誘使使用者相信這些文件是合法的。釣魚文件告訴使用者,它是基於“舊版本”的Microsoft Word建立的,並提示使用者啟用巨集來顯示內容。如果目標受害者啟用了巨集,那麼惡意攻擊則將繼續。
圖1. 虛假Office文件試圖誘使使用者啟用惡意巨集。包含不同土耳其政府實體的logo
圖2.一份類似的虛假Office文件使用了一家與稅收相關的土耳其政府機構的logo
巨集包含以base52編碼的字串。需要指出的是,除了MuddyWater之外,base52很少被其他網路犯罪組織所使用。眾所周知,該組織通常會使用base52來編碼他們的PowerShell後門。
在啟用巨集之後,一個.dll檔案(內嵌PowerShell程式碼)和一個.reg檔案將被放入到%temp%目錄中。然後,巨集將執行以下命令:
“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg
執行此登錄檔檔案,會導致以下命令被新增到Run登錄檔項:
rundll32 %Temp%\png.dll,RunPow
圖3. Run登錄檔項
趨勢科技認為,RunPow代表的就是“run PowerShell”,並會觸發內嵌在.dll檔案中的PowerShell程式碼。PowerShell程式碼包含多個混淆層,其中第一層包含一段經編碼和加密的長程式碼,其中的變數使用英語髒話命名。
圖4.經加密的PowerShell程式碼
其他的層都是簡單的、經過混淆處理的PowerShell指令碼,而最後一層則是主後門的主體。這個後門具備一些類似於早前發現的Muddywater後門的特徵。
首先,這個後門會收集系統資訊,並將各種資訊連線成一個長字串。每一種資訊均以“::”分隔,其中包括作業系統名稱、域名、使用者名稱、IP地址等。
圖5.由從受害者系統收集的系統資訊構成的字串
早前的MuddyWater後門也收集了類似的資訊,但使用了不同的分隔符:
圖6. 由早前的Muddywater後門樣本從受害者系統收集的系統資訊構成的字串
如上所述,這個新後門與早前的Muddywater後門之間的另一個區別是C&C通訊是通過將檔案放到雲端儲存服務來完成的。進一步的分析顯示,通訊函式所使用的檔案採用的格式為“md5(硬碟序列號)+各種副檔名”,具體採用哪種副檔名取決於該檔案的用途。
- .cmd-帶有一個將要執行的命令的文字檔案
- .reg-由myinfo()函式生成的系統資訊,請參考上面的截圖
- .prc-.cmd檔案執行後的輸出,僅儲存在本地計算機上
- .res-.cmd檔案執行後的輸出,儲存在雲端儲存中
圖7. .cmd檔案內容的示例
圖8. .reg檔案內容的示例
圖9. .res檔案內容的示例
在這個新後門和早前的MuddyWater後門中,這些檔案被用作一種非同步機制,而不是直接連線到裝置併發出命令。攻擊者將一個將要執行的命令儲存在.cmd檔案中,然後反過來檢索包含命令執行結果的.res檔案。
對於新後門和早前的MuddyWater後門而言,.res檔案內容的編碼方式也是不同的。另一方面,對於早前的MuddyWater後門而言,這些檔案會被臨時儲存在受感染的網站上,而對於新後門而言,它使用了合法的雲端儲存服務。
我們可以通過將“00”替換為空字串,然後將其從十六進位制轉換為ASCII,最後對字串進行反編譯來解碼.res檔案。下圖展示的是對圖9中的.res檔案進行解碼後的結果。
圖10.解碼後的.res檔案
新後門支援以下命令:
- $ upload-將檔案上傳到雲端儲存服務
- $ dispos-移除永續性
- $ halt-退出
- $ download-從雲端儲存服務下載檔案
- 無字首-通過Invoke Expression(IEX)執行命令,這是一個PowerShell命令,用於在本地計算機上執行命令或表示式。
趨勢科技表示,其分析顯示這場攻擊活動的目標是與金融和能源部門有關的土耳其政府機構。它與早前另一場針對了多個土耳其政府實體的MuddyWater活動存在一些相似之處。如果這個後門的確來自該組織,那麼它則有助於揭露該組織是如何改進和測試他們的新工具的。
解決方案和建議
此類後門的主要交付方式是藉助魚叉式網路釣魚電子郵件或垃圾郵件,攻擊者往往會使用社會工程來誘使目標使用者開啟惡意文件。因此,對於任何組織或企業的僱主和僱員來說,能夠識別網路釣魚攻擊並將合法電子郵件與惡意電子郵件區分開來都是極為重要的。意識到這些威脅及其使用的策略,是有效避免遭受其害的第一步。
除了對網路釣魚和社會工程必要的認識和意識之外,準備好有效的分層安全解決方案也很重要。