MuddyWater是疑是来源于沙特的APT机构,关键进攻总体目标为中东国家 *** 部门,但在最近的公布汇报中表明,18年后,中东地区之外的地域也相继出現了Muddywater的主题活动征兆,例如土尔其,塔吉克斯坦等地。(详尽信息见上一篇文章)
近日,海外安全性生产商公布了三个新的MuddyWater进攻样本:
但仍未写相关性分析文章内容,小编就用于剖析学习培训^_^。
样本信息
样本md5
a066f5b93f4ac85e9adfe5ff3b10bc28
创作者信息
Gladiator
样本来源于
剖析自然环境
剖析自然环境
Win7 32vm虚拟机
调节专用工具
Powershell ise
样本剖析
样本好像选用了模版引入,运作后,即从下载一个宏样本:
该类利用方式能够合理的绕开一些杀毒软件检验,VT59家杀毒软件仅4家报毒:
以后就是MuddyWater机构一贯的老套,利用模糊不清的鱼饵性图片诱发客户启用宏:
当受害者启用宏后,故意宏代码即会实行,一部分宏代码掩藏在文本框中:
*** 攻击很鸡贼的有意弹出来报错,ofiice版本号不对,以欺诈受害者,emmm…这也是MuddyWater的老套了。
宏代码后续命令载入注册表文件HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{*}\\Shell\\Manage\\command,并在开机启动项下载入该数据信息,也就是仅有当受害者重新启动或是再次登陆后续的故意个人行为才会实行,这可能是为了更好地绕开一些沙盒。
以后将环境变量释放出来到c:\\windows emp\\下,在其中icon.ico关键用以运行后续powershell命令:
Powershell指令经base64编号,编解码后以下:
获得环境变量picture.jpg的內容,base64编解码后,再经破译后实行,接下来的工作中便是悠长的去搞混的全过程,将iex指令更换为輸出等指令,解了23层搞混(难受想哭,诸位巨头是否有迅速的方式,感谢告之),最终解搞混的编码以下:
破译后的文档是muddywater常见的POWERSTATS侧门。
更先获得系统软件基础信息,计算机软件名、计算机名、登录名及其IP,公网IP等信息:
以后以“**”将这种信息恢复出厂设置成字符串数组,并应用md5对恢复出厂设置的字符串数组开展数据加密。
再度获得系统软件基础信息,数据加密信息,加密 *** 以下:
与c2:通讯,推送通讯数据信息,若回到“done”则再次后续:
微信支付查找“商户单号”方法: 1.打开微信app,点击消息列表中和“微信支付”的对话 2.找到扫码支付给360doc个人图书馆的账单,点击“查看账单详情” 3.在“账单详情”页,找到...
此刻许多的想要创业的人都在选择本身的品牌,所以一个具有实力的人气的品牌往往可以或许脱颖而出。家家长沙米粉加盟在行业中一直都是压倒一切,拥有着超高的人气,和强大的竞争实力。而且家家长沙米粉加盟此刻已经在...
曾经“开局一条鲲,进化全靠吞”这句广告词火遍大江南北,小时候也背过“北冥有鱼,其名为鲲”,但我依然不知道“鲲”到底是什么样子,直到今天,我为了3毛钱,下载了“开局一条鲲”终于知道了,我开心的像个矿老板...
百度是一个搜索引擎你可以找到黑客联系方式但绝大多少都是遇到的大广告的说我认识一个之类的这种是什么你应该清楚。找到论坛那些id里面发布文章。 毕业后在某知名网络安全公司工作好几年,现在自己出来接单做这...
杜蕾丝为全世界著名的两性知识知名品牌,坚信大家街头巷尾都是会见到他,即然那么知名的知名品牌那大家的学好用英语怎么读,要不然你到海外還是念duleis外国人都过意不去啦。 Durex那么知名一定有他的...
你多久没和忙着创业的小伙伴出去愉快玩耍了? 更或者,你本身就在创业,然后整天忙于工作,无暇顾及生活。 不久前篮球明星科比退役,那句“你见过凌晨四点的洛杉矶吗”红极一时。而对创业者们来说,早...