近期“污水”(MuddyWater)APT组织攻击活动汇总
字数 3771 2025-08-18 11:37:07

MuddyWater APT组织攻击活动分析与防御指南

1. MuddyWater APT组织概述

MuddyWater(又称T-APT-14)是一个自2017年以来持续活跃的APT组织,主要针对中东国家进行网络攻击活动。该组织具有以下特征:

  • 主要目标国家:巴基斯坦、沙特阿拉伯、阿联酋、伊拉克、土耳其等中东国家
  • 目标行业:政府部门、电信公司、石油公司等关键基础设施
  • 攻击动机:以间谍活动为主
  • 疑似来源:根据攻击特征追踪,怀疑可能来自伊朗

2. 近期攻击活动特点(2017-2018)

2.1 攻击目标扩展

  • 新增塔吉克斯坦、巴基斯坦、土耳其等国
  • 特别关注土耳其政府机构(外交部、发展委员会、内政部等)

2.2 攻击时间线

  • 起始于2017年11月
  • 持续至2018年2月仍有新攻击样本出现

3. 攻击技术分析

3.1 攻击流程

MuddyWater采用两种主要攻击流程:

流程一:VBS+Powershell后门

  1. 发送精心构造的钓鱼文档
  2. 诱骗目标启用文档宏
  3. 恶意宏执行后:
    • 写入VBS脚本和编码的Powershell文件到C:\ProgramData\ZIPSDK\
    • 加载VBS脚本
    • VBS脚本解码并执行Powershell后门
    • 与C&C服务器通信

流程二:SCT+INF+INI组合

  1. 发送精心构造的钓鱼文档
  2. 诱骗目标启用文档宏
  3. 恶意宏执行后:
    • 写入SCT脚本、INF文件和INI文件(含编码的Powershell内容)
    • 使用系统程序cmstp.exe加载INF执行
    • INF加载SCT中的JavaScript代码
    • 最终解码执行Powershell后门
    • 与C&C服务器通信

3.2 钓鱼文档特征

  • 文档版本多为983040和1048576
  • 常带有输入框和按钮控件
  • 部分文档作者属性为"GIGABYTE"
  • 使用VBA工程保护(如CMG="848650DE506654665466546654")

3.3 恶意宏分析

宏代码会释放以下文件:

  • InstallConfNT.vbs(修改自微软测试打印脚本)
  • ProjectConfManagerNT.ini(含编码的Powershell后门)

关键代码片段:

WScript.CreateObject("WScript.Shell").Run"mshtavbscript:Close(Execute(""CreateObject(""""WScript.Shell"""").Run""""powershell.exe-w 1 -exec Bypass -nologo -noprofile -c iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String((get-contentC:\ProgramData\ZIPSDK\ProjectConfManagerNT.ini)0""))",0

3.4 Powershell后门分析

3.4.1 代码结构

后门代码分为三部分:

  1. 配置信息:通过字符串replace进行混淆
  2. 加解密函数:实现通信协议的加密解密
  3. 后门主程序:通过split和bxor异或操作还原真实代码

3.4.2 关键配置参数

参数
${URL} 517个尝试连接的URL
${TemppATh} C:\ProgramData\ZIPSDK\
${cOUNtRy_urL} http://apinotes.com/ipaddress/ip.php?ip=
${GeT_vAliDiP} https://api.ipify.org/
${fileNAmEPAThv} InstallConfNT.vbs
${FilENAMePathP} ProjectConfManagerNT.ini
${pRivatE} 959 713
${pUbLIC} 37 437
${hKlm} HKLM:\Software\
${hKcU} HKCU:\Software\
${valUe} kaspersky

3.4.3 后门功能

  1. 系统信息收集:获取当前系统信息
  2. 反调试机制:检测常见调试工具进程,如发现则调用shutdown关闭计算机
    • 检测的进程包括:ollydbg、ProcessHacker、tcpview、autoruns、procmon等
  3. 持久化机制
    • 降低Word安全配置
    • 设置开机启动(通过注册表RUN项和计划任务两种方式)
  4. 远程控制功能
    • 屏幕截取
    • 文件上传
    • 远程加载Powershell脚本执行

3.4.4 指令进化

  1. 原始指令:仅支持加载Powershell执行
  2. 第一次升级
    • screenshot:截取屏幕
    • upload:上传截屏图像
    • 默认:加载Powershell执行
  3. 第二次升级:引入DCOM技术
    • screenshot:截取屏幕
    • excel:使用Excel DCOM加载Powershell脚本
    • outlook:使用Outlook DCOM加载Powershell脚本
    • risk:使用"9BA05972-F6A8-11CF-A442-00A0C90A8F39"对应的DCOM加载Powershell
    • upload:上传截屏图像
    • 默认:加载服务器指定的Powershell命令

3.5 C&C通信机制

  • 内置517个URL地址,依次尝试连接
  • 成功连接的地址作为实际C&C
  • URL特征:多以db_template.php结尾
  • 部分URL存在格式错误(如双斜杠"//")

4. 混淆与反检测技术

  1. 非PE文件利用:主要使用js、Powershell等脚本后门,减少文件落地
  2. 内存执行:通过Powershell在内存中执行,降低检测率
  3. 多层编码:Base64、字符串替换、异或操作等多重混淆
  4. 假旗行动
    • 在错误处理中包含"无法访问本地计算机寄存器"、"请等待龙..."等中文
    • 疑似通过翻译工具生成,用于混淆溯源

5. 攻击溯源发现

  1. 水坑攻击:发现美国联邦学生援助办公室(https://studentaid.ed.gov)网站曾被入侵并置入恶意文档
  2. 博彩网站利用:部分样本中的加密字符串与搜索引擎中找到的博彩类网站相关

6. 防御建议

6.1 用户防护

  • 切勿随意打开来历不明的邮件附件
  • 禁用Office宏功能,或设置为高安全级别
  • 安装并更新终端安全软件

6.2 企业防护

  1. 网络层防护

    • 部署高级威胁检测系统(如腾讯御界)
    • 监控异常网络流量,特别是对可疑URL的访问
    • 阻断已知C&C地址的通信

  2. 终端防护

    • 限制Powershell执行权限
    • 监控异常脚本执行行为(如大量Base64解码操作)
    • 检测常见的持久化技术(注册表、计划任务等)

  3. 日志与审计

    • 启用并集中管理系统日志
    • 特别关注cmstp.exe等系统工具的非正常使用
    • 监控Office文档的宏执行行为

7. IOC(入侵指标)

7.1 文档哈希与目标

文件哈希 目标 创建日期 文档版本 释放文件
d632c8444aab1b43a663401e80c0bac4 土耳其武装军队 2018/2/21 1048576 Defender.sct, DefenderService.inf, WindowsDefender.ini
24e1bd221ba3813ed7b6056136237587 土耳其发展委员会 2018/2/14 1048576 InstallConfNT.vbs, ProjectConfManagerNT.ini
5bd61a94e7698574eaf82ef277316463 土耳其内政部 2018/1/21 983040 WindowsNT.ini, WindowsNT.vbs
6c997726d502a68af2ac2e3563365852 塔吉克斯坦外交部 2017/12/31 983040 system.ps1, system.vbs
bf310319d6ef95f69a45fc4f2d237ed4 银行机构 2017/12/19 983040 Defender.sct, DefenderService.inf, WindowsDefender.ini
5466c8a099d1d30096775b1f4357d3cf 巴基斯坦国民议会 2017/12/4 983040 Defender.sct, DefenderService.inf, WindowsDefender.ini
cf3d8ee38a1c04d552d8fb8b80454c68 电信Telenor巴基斯坦分公司 2017/11/8 983040 system.ps1, system.vbs
1de684f66a87cdf8485f95693d188596 冒充NSA组织 2017/11/6 983040 system.ps1, system.vbs

7.2 部分C&C地址

http://2atohumculuk.com/upload/files/besin-maddesi-noksanliklari/db_template.php
http://akkalegida.com/hemphpmail/db_template.php
http://ciftlikonuasm.gov.tr/ckeditor/plugins/clipboard/dialogs/db_template.php
http://luleburgazlazerepilasyon.com/hemphpmail/db_template.php
http://refikengin.com/hemphpmail/db_template.php
http://safakgazetesi.com.tr/hemphpmail/db_template.php
http://sarilartarim.com/hemphpmail/db_template.php
http://selvitarim.com.tr/hemphpmail/db_template.php
http://seyidesen.com.tr/hemphpmail/db_template.php
http://silivrisonmezemlak.com/hemphpmail/db_template.php
http://yunusbeyasm.gov.tr/hemphpmail/db_template.php
http://yigitersuurunleri.com/hemphpmail/db_template.php
http://www.yeniinan.com/hemphpmail/db_template.php
http://yavuztrapez.com/hemphpmail/db_template.php
http://arsailani.com/hemphpmail/db_template.php
http://bursabitkisel.com/hemphpmail/db_template.php
http://bursatemamutfak.com/hemphpmail/db_template.php
http://butikiletisim.com/hemphpmail/db_template.php
http://dogadanderman.com/hemphpmail/db_template.php
http://enginatalay.com/hemphpmail/db_template.php
http://23digital-prod4.com/mailtest/db_template.php
https://adrianskar.com/.well-known/acme-challenge/db_template.php
http://advanceddermatologyaustralia.com/wp-includes/db_template.php
http://www.aesthetictrainingsolutions.com/downloader/db_template.php
https://affordable-35mm-slide-scanning.com/_WestHost/db_template.php

8. 总结

MuddyWater APT组织持续进化其攻击技术,特别注重:

  • 使用非PE文件后门(Powershell、JS等)
  • 开发成熟的混淆和反查杀技术
  • 扩大攻击目标和攻击方式
  • 采用DCOM等高级技术提升攻击能力

组织和个人应提高安全意识,部署多层次防御措施,特别是针对脚本攻击的防护,以有效应对此类高级威胁。

MuddyWater APT组织攻击活动分析与防御指南 1. MuddyWater APT组织概述 MuddyWater (又称T-APT-14)是一个自2017年以来持续活跃的APT组织,主要针对中东国家进行网络攻击活动。该组织具有以下特征: 主要目标国家 :巴基斯坦、沙特阿拉伯、阿联酋、伊拉克、土耳其等中东国家 目标行业 :政府部门、电信公司、石油公司等关键基础设施 攻击动机 :以间谍活动为主 疑似来源 :根据攻击特征追踪,怀疑可能来自伊朗 2. 近期攻击活动特点(2017-2018) 2.1 攻击目标扩展 新增塔吉克斯坦、巴基斯坦、土耳其等国 特别关注土耳其政府机构(外交部、发展委员会、内政部等) 2.2 攻击时间线 起始于2017年11月 持续至2018年2月仍有新攻击样本出现 3. 攻击技术分析 3.1 攻击流程 MuddyWater采用两种主要攻击流程: 流程一:VBS+Powershell后门 发送精心构造的钓鱼文档 诱骗目标启用文档宏 恶意宏执行后: 写入VBS脚本和编码的Powershell文件到 C:\ProgramData\ZIPSDK\ 加载VBS脚本 VBS脚本解码并执行Powershell后门 与C&C服务器通信 流程二:SCT+INF+INI组合 发送精心构造的钓鱼文档 诱骗目标启用文档宏 恶意宏执行后: 写入SCT脚本、INF文件和INI文件(含编码的Powershell内容) 使用系统程序 cmstp.exe 加载INF执行 INF加载SCT中的JavaScript代码 最终解码执行Powershell后门 与C&C服务器通信 3.2 钓鱼文档特征 文档版本多为983040和1048576 常带有输入框和按钮控件 部分文档作者属性为"GIGABYTE" 使用VBA工程保护(如CMG="848650DE506654665466546654") 3.3 恶意宏分析 宏代码会释放以下文件: InstallConfNT.vbs (修改自微软测试打印脚本) ProjectConfManagerNT.ini (含编码的Powershell后门) 关键代码片段: 3.4 Powershell后门分析 3.4.1 代码结构 后门代码分为三部分: 配置信息 :通过字符串replace进行混淆 加解密函数 :实现通信协议的加密解密 后门主程序 :通过split和bxor异或操作还原真实代码 3.4.2 关键配置参数 | 参数 | 值 | |------|----| | ${URL} | 517个尝试连接的URL | | ${TemppATh} | C:\ProgramData\ZIPSDK\ | | ${cOUNtRy_ urL} | http://apinotes.com/ipaddress/ip.php?ip= | | ${GeT_ vAliDiP} | https://api.ipify.org/ | | ${fileNAmEPAThv} | InstallConfNT.vbs | | ${FilENAMePathP} | ProjectConfManagerNT.ini | | ${pRivatE} | 959 713 | | ${pUbLIC} | 37 437 | | ${hKlm} | HKLM:\Software\ | | ${hKcU} | HKCU:\Software\ | | ${valUe} | kaspersky | 3.4.3 后门功能 系统信息收集 :获取当前系统信息 反调试机制 :检测常见调试工具进程,如发现则调用shutdown关闭计算机 检测的进程包括:ollydbg、ProcessHacker、tcpview、autoruns、procmon等 持久化机制 : 降低Word安全配置 设置开机启动(通过注册表RUN项和计划任务两种方式) 远程控制功能 : 屏幕截取 文件上传 远程加载Powershell脚本执行 3.4.4 指令进化 原始指令 :仅支持加载Powershell执行 第一次升级 : screenshot :截取屏幕 upload :上传截屏图像 默认:加载Powershell执行 第二次升级 :引入DCOM技术 screenshot :截取屏幕 excel :使用Excel DCOM加载Powershell脚本 outlook :使用Outlook DCOM加载Powershell脚本 risk :使用"9BA05972-F6A8-11CF-A442-00A0C90A8F39"对应的DCOM加载Powershell upload :上传截屏图像 默认:加载服务器指定的Powershell命令 3.5 C&C通信机制 内置517个URL地址,依次尝试连接 成功连接的地址作为实际C&C URL特征:多以 db_template.php 结尾 部分URL存在格式错误(如双斜杠"//") 4. 混淆与反检测技术 非PE文件利用 :主要使用js、Powershell等脚本后门,减少文件落地 内存执行 :通过Powershell在内存中执行,降低检测率 多层编码 :Base64、字符串替换、异或操作等多重混淆 假旗行动 : 在错误处理中包含"无法访问本地计算机寄存器"、"请等待龙..."等中文 疑似通过翻译工具生成,用于混淆溯源 5. 攻击溯源发现 水坑攻击 :发现美国联邦学生援助办公室(https://studentaid.ed.gov)网站曾被入侵并置入恶意文档 博彩网站利用 :部分样本中的加密字符串与搜索引擎中找到的博彩类网站相关 6. 防御建议 6.1 用户防护 切勿随意打开来历不明的邮件附件 禁用Office宏功能,或设置为高安全级别 安装并更新终端安全软件 6.2 企业防护 网络层防护 : 部署高级威胁检测系统(如腾讯御界) 监控异常网络流量,特别是对可疑URL的访问 阻断已知C&C地址的通信 终端防护 : 限制Powershell执行权限 监控异常脚本执行行为(如大量Base64解码操作) 检测常见的持久化技术(注册表、计划任务等) 日志与审计 : 启用并集中管理系统日志 特别关注 cmstp.exe 等系统工具的非正常使用 监控Office文档的宏执行行为 7. IOC(入侵指标) 7.1 文档哈希与目标 | 文件哈希 | 目标 | 创建日期 | 文档版本 | 释放文件 | |---------|------|----------|----------|----------| | d632c8444aab1b43a663401e80c0bac4 | 土耳其武装军队 | 2018/2/21 | 1048576 | Defender.sct, DefenderService.inf, WindowsDefender.ini | | 24e1bd221ba3813ed7b6056136237587 | 土耳其发展委员会 | 2018/2/14 | 1048576 | InstallConfNT.vbs, ProjectConfManagerNT.ini | | 5bd61a94e7698574eaf82ef277316463 | 土耳其内政部 | 2018/1/21 | 983040 | WindowsNT.ini, WindowsNT.vbs | | 6c997726d502a68af2ac2e3563365852 | 塔吉克斯坦外交部 | 2017/12/31 | 983040 | system.ps1, system.vbs | | bf310319d6ef95f69a45fc4f2d237ed4 | 银行机构 | 2017/12/19 | 983040 | Defender.sct, DefenderService.inf, WindowsDefender.ini | | 5466c8a099d1d30096775b1f4357d3cf | 巴基斯坦国民议会 | 2017/12/4 | 983040 | Defender.sct, DefenderService.inf, WindowsDefender.ini | | cf3d8ee38a1c04d552d8fb8b80454c68 | 电信Telenor巴基斯坦分公司 | 2017/11/8 | 983040 | system.ps1, system.vbs | | 1de684f66a87cdf8485f95693d188596 | 冒充NSA组织 | 2017/11/6 | 983040 | system.ps1, system.vbs | 7.2 部分C&C地址 8. 总结 MuddyWater APT组织持续进化其攻击技术,特别注重: 使用非PE文件后门(Powershell、JS等) 开发成熟的混淆和反查杀技术 扩大攻击目标和攻击方式 采用DCOM等高级技术提升攻击能力 组织和个人应提高安全意识,部署多层次防御措施,特别是针对脚本攻击的防护,以有效应对此类高级威胁。