伊朗APT组织MuddyWater早期C&C服务端源码泄露

栏目: 编程工具 · 发布时间: 5年前

4月份趋势科技发布了一份关于伊朗APT黑客组织MuddyWater的 报告 ,称他们在Telegram监控到了MuddyWater组织的行动细节,并称该组织在Telegram上泄露了C&C服务端、源代码,以及一些受害者的相关信息等。

可惜的是趋势科技的报告中并未公开MuddyWater APT组织泄露的相关恶意样本源代码下载地址,只是公布了MuddyWater组织使用的C&C服务器后台运行截图等相关信息。

MuddyWater APT组织可能是最近两年最活跃的APT组织之一,主要攻击中东地区相关的国家政府部门,同时也会对周边的地区和其他国家进行攻击,该组织最早由著名的恶意代码研究组织MalwareBytes在2017年9月公开披露,并将该组织命名为MuddyWater。

趋势科技的报告中指出MuddyWater APT组织主要的攻击目标为国家相关政府实体部门以及电信通讯、多媒体等行业,分布如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

最近两年国内外各大安全厂商的安全研究人员都在跟踪分析这个APT组织,并发布了很多相关的分析报告,对此组织感兴趣的,可以去参考各安全公司发布关于MuddyWater APT组织的安全分析报告,MuddyWater早期主要使用了PowerShell的后门技术,后面又同时使用了VBA、VBS、PowerShell、C#、 Python 、JS、BAT、SCT、INF等脚本后门。

近日,国外某网站有人上传了该APT组织早前在Telegram泄露的C&C服务端样本,获取到相应的样本之后,对样本进行了研究分析,发现它就是此前趋势科技报告中提到的MuddyWater APT组织泄露的C&C服务端样本及源代码,以PowerShell作为后门Payload

运行样本,如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

输入要监听的IP地址和端口,生成MuddyWater的Payload载体,如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

可以看到生成的Payload为PowerShell加密脚本,同时此C&C服务端还提供了一些简单的命令供参考使用。

通过分析发现泄露的MuddyWater的C&C服务端使用Python编写的,并用PyInstaller进行封装打包,通过pyinstxtractor对样本进行分析处理,如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

分解出各个攻击模块程序,如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

最后还原出MuddyWater的主程序muddyc3脚本源代码muddyc3.py,如下所示:

伊朗APT组织MuddyWater早期C&C服务端源码泄露

可以看到此MuddyWater为最早期的MuddyWater APT组织使用的C&C服务端程序,主要的载体为PowerShell后门,而且显示版本号为:1.0.0,应该为MuddyWater最早期的一个版本,后期的MuddyWater发展出了多个版本和相关工具,主要通过垃圾邮件附件的形式,利用带有宏或漏洞的Office文档进行钓鱼攻击,传播感染。

本文对之前Telegram中泄露的MuddyWater APT组织的早期的样本进行了研究分析,事实上后期的MuddyWater APT组织不断改进自己的样本,后期的样本载体也越来越复杂,使用了多种不同类型的脚本Payload以及RAT后门,同时使用了各种混淆加密的方式以及免杀技术,有兴趣的可以去下载一些最新的MuddyWater的样本进行分析学习,后面有空,我也会分享一些关于APT样本的分析技巧类文章。

PS:不要私信找我要样本或相关源代码,也不要私信找我要样本的下载地址,相关样本仅做安全研究分析之用,不外传......

声明:本文来自CyberThreatAnalyst,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

图解设计模式

图解设计模式

结城浩 / 杨文轩 / 人民邮电出版社 / 2017-1-1 / CNY 79.00

原版连续畅销12年、重印25次! 194张图表 + Java示例代码 = 轻松理解GoF的23种设计模式 《程序员的数学》《数学女孩》作者结城浩又一力作 ◆图文并茂 194张图表(包括57张UML类图)穿插文中,帮助理解各设计模式 ◆通俗易懂 用浅显的语言逐一讲解23种设计模式,读完此书会发现GoF书不再晦涩难懂 ◆专业实用 编写了Java程序代码来......一起来看看 《图解设计模式》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试