日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

2020 年第四季度以來，MuddyWater 一直針對中東國家發(fā)起持久的攻擊行動。根據(jù)最新發(fā)現(xiàn)的樣本，研究人員認為攻擊活動仍處于活躍狀態(tài)。MuddyWater 被認為是由伊朗革命衛(wèi)隊運營的組織，主要維護伊朗的國家利益。

成都創(chuàng)新互聯(lián)專注于匯川網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供匯川營銷型網(wǎng)站建設，匯川網(wǎng)站制作、匯川網(wǎng)頁設計、匯川網(wǎng)站官網(wǎng)定制、成都小程序開發(fā)服務，打造匯川網(wǎng)絡公司原創(chuàng)品牌,更為您提供匯川網(wǎng)站排名全網(wǎng)營銷落地服務。

攻擊通常從一個壓縮文件開始，文件中包含一個嵌入 VBA 宏代碼的惡意 Word 文檔。

根據(jù)文件內(nèi)容，可以看出似乎為講阿語的用戶專門設計的。也有一些樣本包含英語的通用消息，誘導用戶啟用宏代碼。

惡意文檔樣本

惡意文檔樣本

盡管不能明確確定攻擊的具體目標，但根據(jù)分析攻擊針對巴基斯坦、哈薩克斯坦、亞美尼亞、敘利亞、以色列、巴林、土耳其、南非、蘇丹等國家。這些國家都被認為是伊朗的利益相關，或者是伊朗在其他地區(qū)的發(fā)展與戰(zhàn)略相關。

宏代碼實際上非常簡潔，將一個模糊程度不高的 VBS 腳本寫入 C:\ProgramData 或 Windows 啟動文件夾，文件名為 Temp_[3-5 隨機字符].txt。

惡意 VBA 宏代碼

釋放的樣本是一個小型的 RAT。首先通過 whoami 進行偵察，再結合所屬國家信息構建 C&C 通信的 URI。樣本中發(fā)現(xiàn)的國家代碼有：

• PK -> 巴基斯坦
• AR -> 阿根廷
• AM -> 亞美尼亞
• SY -> 敘利亞
• IL -> 以色列
• BH -> 巴林
• TR -> 土耳其
• SA -> 沙特
• SD -> 蘇丹
• KK -> 哈薩克斯坦

去混淆代碼

去混淆代碼

函數(shù)在執(zhí)行 explorer.exe 后再調(diào)用一個函數(shù)從一個數(shù)組中選擇一個 IP 地址，如果所選 IP 沒有回復將會重新選擇。C&C 使用的 HTTP GET 請求結構為：http://{ IP_address }/getCommand?guid={ recon_string }。

HTTP GET 請求

沒有響應的情況下將輪換下一個 IP 地址。如果有響應則需要去混淆并創(chuàng)建 WScript.Shell 對象來調(diào)用函數(shù)執(zhí)行。

部分代碼

執(zhí)行結果輸出到 TXT 文件中，讀取并將其發(fā)送回 C&C 服務器。后續(xù)使用 HTTP POST 請求，結構如下所示：

HTTP POST 請求

flag_value實際為狀態(tài)，在腳本中也是一個初始值為 0 的變量。執(zhí)行并接收命令回傳結果后會將其設置為 1，除此之外沒有任何修改。在腳本初始執(zhí)行 whoami_wrap 時會檢查該值，與 126 進行比較，如果解析為 True，則會顯示以下提示消息。

提示消息

樣本中唯一實現(xiàn)的就是通過 WMI 獲取失陷主機相關信息：

部分代碼

這樣一個功能并不完整的樣本，在長達兩年的時間被多次用于各種攻擊。攻擊者可能會根據(jù)失陷主機的具體情況，再決定是否需要深入下一階段。

參考來源

Lab52

分享標題：MuddyWater持續(xù)瞄準中東發(fā)起攻擊
文章路徑：http://m.5511xx.com/article/cceshsp.html