使用新型反检测技术：与MuddyWater相关的BlackWater恶意活动分析

本文主要是介绍使用新型反检测技术：与MuddyWater相关的BlackWater恶意活动分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

摘要

Cisco Talos团队近期发现名为“BlackWater”的恶意活动与可疑的持续威胁组织MuddyWater相关联。在2019年4月，我们开始监测到新型样本，并对其进行分析，结果表明攻击者已经在常规的运营活动中添加了三个不同的步骤，允许恶意软件绕过某些安全控制，并且MuddyWater的策略、技术和流程（TTPs）已经发展到逃避检测阶段。一旦成功，该恶意软件系列会将基于PowerShell的后门安装到受害者的计算机上，从而为威胁参与者提供远程访问的权限。尽管新型恶意活动表明，威胁参与者正在采取措施来提高其运营过程的安全性，并尽可能逃避终端检测，但我们发现其基础代码仍然保持不变。本文中所描述的分析成果将有助于威胁分析团队识别MuddyWater最新的TTP。

在最新的恶意活动中，威胁行为者首先添加了一个经过混淆后的Visual Basic for Applications（VBA）脚本，通过创建注册表项的方式来建立持久性。接下来，该脚本将触发PowerShell Stager，可能是为了伪装成红方工具，而不会被认为是高级威胁。随后，Stager将与一个威胁行为者控制的服务器进行通信，以获得FruityC2代理脚本的一个组件，这是GitHub上的一个开源框架，可以进一步枚举主机。这样一来，威胁参与者就可以监控Web日志，并确定未参与活动的某人是否向其服务器发出请求以尝试调查该活动。一旦枚举命令运行，代理将与不同的C2进行通信，并在URL字段中发回数据。这样一来，基于主机的检测将会变得更加困难，因为这一过程中并不会生成易于识别的“errors.txt”文件。威胁参与者还采取了额外的步骤来替换近期最新样本中的一些变量字符串，这可能是为了避免根据Yara规则进行基于签名的检测。

在近几个月内观察到的相关恶意样本显示，恶意活动的复杂程度不断增加。一些疑似与MuddyWater相关的样本表明，在2019年2月至3月期间，威胁参与者在受感染的主机上创建了持久性，并使用PowerShell命令枚举受害者的主机IP地址以及命令与控制（C2）服务器的IP地址。所有这些组件都包含在木马化的附件里，因此安全人员只需获得文档的样本，即可发现攻击者的TTP。与之相比，4月发生的恶意活动需要采取多步骤的调查方法。

BlackWater文档分析

Talos团队发现有证据表明恶意样本疑似与恶意组织MuddyWater有关。MuddyWater自2017年11月起至今一直活跃，并且主要针对中东地区的实体。我们有一定证据判断，这些文件是通过网络钓鱼电子邮件的方式发送给受害者的。其中的一个木马文件创建于2019年4月23日，其原始文件的标题是“company information list.doc”。中国菜刀