MuddyWater是疑是来源于沙特的APT机构，关键进攻总体目标为中东国家阅批部门，但在最近的公布汇报中表明，18年后，中东地区之外的地域也相继出現了Muddywater的主题活动征兆，例如土尔其，塔吉克斯坦等地。（详尽信息见上一篇文章）

近日，海外安全性生产商公布了三个新的MuddyWater进攻样本：

但仍未写相关性分析文章内容，小编就用于剖析学习培训^_^。

样本信息

样本md5

a066f5b93f4ac85e9adfe5ff3b10bc28

创作者信息

Gladiator

样本来源于

剖析自然环境

剖析自然环境

Win7 32vm虚拟机

调节专用工具

Powershell ise

样本剖析

样本好像选用了模版引入，运作后，即从下载一个宏样本：

该类利用方式能够合理的绕开一些杀毒软件检验，VT59家杀毒软件仅4家报毒：

以后就是MuddyWater机构一贯的老套，利用模糊不清的鱼饵性图片诱发客户启用宏：

当受害者启用宏后，故意宏代码即会实行，一部分宏代码掩藏在文本框中：

网络攻击很鸡贼的有意弹出来报错，ofiice版本号不对，以欺诈受害者，emmm…这也是MuddyWater的老套了。

宏代码后续命令载入注册表文件HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{*}\\Shell\\Manage\\command，并在开机启动项下载入该数据信息，也就是仅有当受害者重新启动或是再次登陆后续的故意个人行为才会实行，这可能是为了更好地绕开一些沙盒。

以后将环境变量释放出来到c:\\windows emp\\下，在其中icon.ico关键用以运行后续powershell命令：

Powershell指令经base64编号，编解码后以下：

获得环境变量picture.jpg的內容，base64编解码后，再经破译后实行，接下来的工作中便是悠长的去搞混的全过程，将iex指令更换为輸出等指令，解了23层搞混（难受想哭，诸位巨头是否有迅速的方式，感谢告之），最终解搞混的编码以下：

破译后的文档是muddywater常见的POWERSTATS侧门。

最先获得系统软件基础信息，计算机软件名、计算机名、登录名及其IP，公网IP等信息：

以后以“**”将这种信息恢复出厂设置成字符串数组，并应用md5对恢复出厂设置的字符串数组开展数据加密。

再度获得系统软件基础信息，数据加密信息，加密方法以下：

与c2：通讯，推送通讯数据信息，若回到“done”则再次后续：