日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
MuddyWater持續(xù)瞄準(zhǔn)中東發(fā)起攻擊

2020 年第四季度以來,MuddyWater 一直針對中東國家發(fā)起持久的攻擊行動(dòng)。根據(jù)最新發(fā)現(xiàn)的樣本,研究人員認(rèn)為攻擊活動(dòng)仍處于活躍狀態(tài)。MuddyWater 被認(rèn)為是由伊朗革命衛(wèi)隊(duì)運(yùn)營的組織,主要維護(hù)伊朗的國家利益。

成都創(chuàng)新互聯(lián)專注于匯川網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供匯川營銷型網(wǎng)站建設(shè),匯川網(wǎng)站制作、匯川網(wǎng)頁設(shè)計(jì)、匯川網(wǎng)站官網(wǎng)定制、成都小程序開發(fā)服務(wù),打造匯川網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供匯川網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

攻擊通常從一個(gè)壓縮文件開始,文件中包含一個(gè)嵌入 VBA 宏代碼的惡意 Word 文檔。

根據(jù)文件內(nèi)容,可以看出似乎為講阿語的用戶專門設(shè)計(jì)的。也有一些樣本包含英語的通用消息,誘導(dǎo)用戶啟用宏代碼。

惡意文檔樣本

惡意文檔樣本

盡管不能明確確定攻擊的具體目標(biāo),但根據(jù)分析攻擊針對巴基斯坦、哈薩克斯坦、亞美尼亞、敘利亞、以色列、巴林、土耳其、南非、蘇丹等國家。這些國家都被認(rèn)為是伊朗的利益相關(guān),或者是伊朗在其他地區(qū)的發(fā)展與戰(zhàn)略相關(guān)。

宏代碼實(shí)際上非常簡潔,將一個(gè)模糊程度不高的 VBS 腳本寫入 C:\ProgramData 或 Windows 啟動(dòng)文件夾,文件名為 Temp_[3-5 隨機(jī)字符].txt。

惡意 VBA 宏代碼

釋放的樣本是一個(gè)小型的 RAT。首先通過 whoami 進(jìn)行偵察,再結(jié)合所屬國家信息構(gòu)建 C&C 通信的 URI。樣本中發(fā)現(xiàn)的國家代碼有:

  • PK -> 巴基斯坦
  • AR -> 阿根廷
  • AM -> 亞美尼亞
  • SY -> 敘利亞
  • IL -> 以色列
  • BH -> 巴林
  • TR -> 土耳其
  • SA -> 沙特
  • SD -> 蘇丹
  • KK -> 哈薩克斯坦

去混淆代碼

去混淆代碼

函數(shù)在執(zhí)行 explorer.exe 后再調(diào)用一個(gè)函數(shù)從一個(gè)數(shù)組中選擇一個(gè) IP 地址,如果所選 IP 沒有回復(fù)將會(huì)重新選擇。C&C 使用的 HTTP GET 請求結(jié)構(gòu)為:http://{ IP_address }/getCommand?guid={ recon_string }。

HTTP GET 請求

沒有響應(yīng)的情況下將輪換下一個(gè) IP 地址。如果有響應(yīng)則需要去混淆并創(chuàng)建 WScript.Shell 對象來調(diào)用函數(shù)執(zhí)行。

部分代碼

執(zhí)行結(jié)果輸出到 TXT 文件中,讀取并將其發(fā)送回 C&C 服務(wù)器。后續(xù)使用 HTTP POST 請求,結(jié)構(gòu)如下所示:

HTTP POST 請求

flag_value實(shí)際為狀態(tài),在腳本中也是一個(gè)初始值為 0 的變量。執(zhí)行并接收命令回傳結(jié)果后會(huì)將其設(shè)置為 1,除此之外沒有任何修改。在腳本初始執(zhí)行 whoami_wrap 時(shí)會(huì)檢查該值,與 126 進(jìn)行比較,如果解析為 True,則會(huì)顯示以下提示消息。

提示消息

樣本中唯一實(shí)現(xiàn)的就是通過 WMI 獲取失陷主機(jī)相關(guān)信息:

部分代碼

這樣一個(gè)功能并不完整的樣本,在長達(dá)兩年的時(shí)間被多次用于各種攻擊。攻擊者可能會(huì)根據(jù)失陷主機(jī)的具體情況,再?zèng)Q定是否需要深入下一階段。

參考來源

Lab52


網(wǎng)站名稱:MuddyWater持續(xù)瞄準(zhǔn)中東發(fā)起攻擊
本文URL:http://m.5511xx.com/article/cceshsp.html