MuddyWater新进攻主题活动样本剖析

访客4年前黑客文章570

MuddyWater是疑是来源于沙特的APT机构,关键进攻总体目标为中东国家 *** 部门,但在最近的公布汇报中表明,18年后,中东地区之外的地域也相继出現了Muddywater的主题活动征兆,例如土尔其,塔吉克斯坦等地。(详尽信息见上一篇文章)

近日,海外安全性生产商公布了三个新的MuddyWater进攻样本:

但仍未写相关性分析文章内容,小编就用于剖析学习培训^_^。

样本信息

样本md5

a066f5b93f4ac85e9adfe5ff3b10bc28

创作者信息

Gladiator

样本来源于

剖析自然环境

剖析自然环境

Win7 32vm虚拟机

调节专用工具

Powershell ise

样本剖析

样本好像选用了模版引入,运作后,即从下载一个宏样本:

该类利用方式能够合理的绕开一些杀毒软件检验,VT59家杀毒软件仅4家报毒:

以后就是MuddyWater机构一贯的老套,利用模糊不清的鱼饵性图片诱发客户启用宏:

当受害者启用宏后,故意宏代码即会实行,一部分宏代码掩藏在文本框中:

*** 攻击很鸡贼的有意弹出来报错,ofiice版本号不对,以欺诈受害者,emmm…这也是MuddyWater的老套了。

宏代码后续命令载入注册表文件HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{*}\\Shell\\Manage\\command,并在开机启动项下载入该数据信息,也就是仅有当受害者重新启动或是再次登陆后续的故意个人行为才会实行,这可能是为了更好地绕开一些沙盒。

以后将环境变量释放出来到c:\\windows emp\\下,在其中icon.ico关键用以运行后续powershell命令:

Powershell指令经base64编号,编解码后以下:

获得环境变量picture.jpg的內容,base64编解码后,再经破译后实行,接下来的工作中便是悠长的去搞混的全过程,将iex指令更换为輸出等指令,解了23层搞混(难受想哭,诸位巨头是否有迅速的方式,感谢告之),最终解搞混的编码以下:

破译后的文档是muddywater常见的POWERSTATS侧门。

更先获得系统软件基础信息,计算机软件名、计算机名、登录名及其IP,公网IP等信息:

以后以“**”将这种信息恢复出厂设置成字符串数组,并应用md5对恢复出厂设置的字符串数组开展数据加密。

再度获得系统软件基础信息,数据加密信息,加密 *** 以下:

与c2:通讯,推送通讯数据信息,若回到“done”则再次后续:

相关文章

公主的魔法项链(公主的魔法项链歌曲)

公主的魔法项链作词:萧萧作曲:林从胤演唱:张含韵大理石宫殿回忆正蔓延我用手指试读着已尘封的诗篇塞纳河两边默剧正上演香水的味道浓烈而明显。 公主的魔法项链?是首歌啊!张含韵-公主的魔法项链大理石宫殿回...

黑客找劲舞团密码-黑客技术网站海内(苹果退款黑客技术)

gta5电玩城网络黑客如何再选 网络黑客了解身份证号码能查出部位吗(网络黑客查身份证) 网络黑客如何更改账户余额 如何判断下一期福利彩票做什么(福利彩票下一期做什么号) 想要成为网...

微信真的可以恢复聊天记录吗「微信怎么找回删除的好友免费」

  原标题:微信聊天记录怎么恢复?极速数据恢复真的可以恢复吗   微信聊天记录怎么恢复?极速数据恢复是一款专业恢复手机微信聊天记录、文件、图片等数据的工具,尤其是恢复微信聊天记录这方面,广受用户好评。...

手机有黑客怎么办(手机有黑客会有哪几种现象)

手机有黑客怎么办(手机有黑客会有哪几种现象)

我的手机号码被黑客监控监听了怎么办? 很难检测到,如果你怀疑自己的手机被监控了,你可以备份手机上的必要软件和数据,然后恢复手机至出厂设置,这样一些未知的或有潜在威胁的软件就会被处理掉。- 更换SIM卡...

百度账号怎么注册(百度账户如何开通,需要什么资料)

  我觉得现在互联网比较精准的流量,是百度搜索推广,就是客户搜索关键词,出现的前五广告位置,那么百度搜索推广账户怎么开通?又需要哪些资质呢?   百度搜索推广账户的开通,最基本的资料,营业执照,对公账...

在线刷24个小时网站

你好根据你的提问可以做出以下回答:对于现目前很多表示挂机赚钱的宣传感到很费解。我没有去试过但是我想这类东西不外乎就以下几点:第一:木马肉鸡骗子。 学交规四个整天不能缺课,考交规一天,上车后56个小时学...