另一起可能的“污水”活动使用了基于PowerShell的PRB后门程序-安全客

MuddyWater活动于2017年初首次出现，当时它针对沙特政府发动了通过微软Office Word 宏部署的PowerShell脚本攻击。在2018年3月，我们对另一起具有MuddyWater特征的活动进行了详细分析。

在2018年5月，我们发现了一个新的样本（检测为W2KM_DLOADR.UHAOEEN），它可能与本次活动有关。与之前的活动一样，这些样本再次涉及嵌入了恶意宏的Microsoft Word文档，该宏能够执行PowerShell（PS）脚本，从而导致后门载荷。在分析的样本中，一个显著的区别是，它们不直接下载Visual Basic（VBS）脚本和PowerShell组件文件，而是在文档本身上编码所有脚本。这些脚本将被解码并删除，以执行有效载荷，而无需下载组件文件。

如前所述，我们对样本的分析揭示了可能将其与MuddyWater活动相关联的特征，特别是：

l 交付方法，其中涉及使用嵌入宏的恶意文档作为潜在受害者的诱饵

l 宏脚本的混淆方法，这将导致预期的后门载荷。这种方法通常用于MuddyWater活动中使用的样本

感染链

图1.比较以前和当前活动中使用的感染链

技术细节

我们分析的样本是一个Word文档，用来引诱毫无戒心的受害者。但是，与以前的活动样本不同，诱饵文档涉及不同的主题。新的诱饵文档没有使用政府或电信相关文件，而是作为奖励或促销，这可能表明目标不再局限于特定的行业或组织。

图2.当前活动使用的诱饵文档的示例

该文档旨在诱骗用户，使宏能够查看其全部内容。然而，这个宏的真正目的是允许它在用户不知情的情况下执行恶意程序。

一旦宏被启用，如果打开使用相同模板的新文档或当模板本身作为文档被打开时，它将使用DoCuffTyOnOpen()事件自动执行恶意例程。

图3.通过Document_Open()执行恶意例程

恶意宏的代码片段使用了三个main函数，具体为：

l 红色框中包含的函数是Document_Open()事件，其中所有子函数将被执行/调用。。

l 绿色框中的代码处理文档正文中显示的图像。

l 蓝色框中的代码构建了主要的Powershell命令和脚本。这些将被执行以执行主例程。

图4.恶意宏代码片段，用彩色框标记以显示不同的功能

解码和去混淆

代码分析揭示了一个PowerShell脚本，能够解码恶意文档的内容，从而导致执行另一个编码的PowerShell脚本。

图5.示例代码中包含的Powershell脚本

图6.第二个编码的PowerShell脚本，在解码第一个脚本之后执行

这将导致更具可读性的PowerShell脚本能够在％Application Data％ Microsoft CLR *目录中丢弃各种组件。主要的PowerShell文件invoker.ps1使用这些组件运行最终的有效载荷PRB-Backdoor，之前在2018年5月已经由其他安全研究人员进行了分析。

图7：在％Application Data％ Microsoft CLR *目录中丢弃的组件

PRB-Backdoor是一个后门，它的命名取自于最终的PowerShell脚本有效载荷中使用的函数，如下图所示。

图8. PRB-Backdoor的命名来自PS函数

后门与其命令与控制（C＆C）服务器hxxp：// outl00k [。] net进行通信，以发送和接收以下命令：

Command（命令）	Details（细节）
PRB-CREATEALIVE	初始化与C＆C服务器的连接
PRB-CREATEINTRODUCE	将受影响的机器注册到C&C服务器。
PRB-History	从不同的浏览器收集浏览历史记录，并使用“sendfile”函数将其发送到C＆C服务器
PRB-PASSWORD	窃取在浏览器历史记录中列出或找到的密码
PRB-READFILE	读取文件
PRB-WRITEFILE	写入文件
PRB-Shell	执行shell命令
PRB-Logger	调用“日志记录器Logger”功能，用于记录键盘敲击
PRB-Shot	触发SNAP功能，用于捕捉屏幕截图
PRB-funcupdate	更新功能
sysinfo	收集系统信息
Start_Dns	初始化DNS会话/连接