欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

从支付卡盗窃到工业勒索,FIN6威胁组织开始转型?

来源:本站整理 作者:佚名 时间:2019-04-10 TAG: 我要投稿

近日,FireEye在对一个工程行业的客户做检测时发现了FIN6入侵的迹象,FIN6是FIN旗下的APT攻击组织之一,于2016年首次被发现,当时该组织使用Grabnew后门和FrameworkPOS恶意软件,来窃取超过1万张信用卡的详细资料。而此次入侵,似乎与FIN6的历史定位不符,因为该客户并没有支付卡相关的业务,所以我们一开始也很难猜测攻击者的入侵意图。但好在FireEye团队的分析师拥丰富的实践经验,在Managed Defense和Mandiant安全团队的帮助下,从数百项调查中整理出了一些线索。能够确定的一点是,FIN6已经扩大了他们的犯罪目标,通过安插勒索软件来进一步危害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技术和过程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的使用情况。在本例中,我们挽救了该客户可能高达数百万美元的损失。
检测和响应
FireEye Endpoint Security技术检测显示,FIN6对该客户的入侵尚处于初始阶段,通过盗窃凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等公开工具的使用来进行内部侦察、压缩数据并协助其整体任务。并且分析人员发现了可疑的SMB连接和Windows注册表构件,这些构件表明攻击者通过安装恶意Windows服务在远程系统上执行PowerShell命令。Windows Event Log则显示了负责服务安装的用户帐户详细信息,还带有一些其他的威胁指标,借此我们能确定此次行动的影响范围,以及对FIN6是否入侵了其他系统做识别。之后我们使用Windows Registry Shellbag条目重建了FIN6在受损系统上横向移动时的操作。
攻击链
建立立足点和特权升级
为了在开始时获得对环境的访问权限,FIN6会破坏面向互联网的系统,在此之后FIN6利用窃取的凭证,通过Windows的远程桌面协议(RDP)在环境中横向移动。
在RDP连接到系统之后,FIN6使用了两种不同的技术来建立立足点:
第一类技术:FIN6使用PowerShell执行编码的命令。该命令由一个字节数组组成,其中包含一个base64编码的负载,如图1所示。

图1:Base64编码命令
此负载是Cobalt Strike httpsstager,它被注入运行该命令的PowerShell进程中。Cobalt Strike httpsstager被配置为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被配置为从hxxps://176.126.85[.]207/ca处下载第三个负载。我们无法确定最终的负载,因为在我们的分析期间,链接所在的服务器已不再对其进行托管了。
第二类技术:FIN6还利用Metasploit创建的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来执行经过编码的PowerShell命令。这是由于使用Metasploit时将默认创建16个字符的服务。编码的命令包含一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像第一类技术一样。Metasploit反向HTTP负载被配置为,在TCP端口443上使用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通信。这个C2 URL包含的shellcode 将发出HTTPS请求以获取额外的下载。
为了在环境中实现特权升级,FIN6使用了Metasploit框架中包含的命名管道模拟技术,该技术允许系统级特权升级。
内部侦察与横向运动
FIN6使用一个Windows批处理文件进行内部侦察,此批处理文件能利用Adfind查询Active Directory,然后使用7-zip压缩结果并进行提取:
adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、组织单元、子网、组和信任关系。通过这些输出,FIN6能够识别有权限访问域中其他主机的用户帐户。对于横向移动,FIN6使用了另一组凭证,这些凭证的成员属于域中的其他组、RDP或其他主机。
保持存在
由于客户已预先安装了FireEye Endpoint Security,它能切断攻击者对系统的访问,而攻击者的入侵痕迹仍然保持完整,可以进行远程分析。因此FIN6无法保持存在,进而进一步实现他们的攻击目标。
FireEye观察到,FIN6入侵后部署了勒索软件Ryuk或LockerGoga。
横向移动
FIN6使用编码的PowerShell命令在受损系统上安装Cobalt Strike。通过Cobalt Strike的横向移动命令“psexec”,能在目标系统上创建一个随机的16个字符串的Windows服务,并执行编码的PowerShell,在某些情况下,此PowerShell命令用于下载和执行站点hxxps://pastebin[.]com上托管的内容。
完成使命
FIN6还会将利用RDP在环境中横向移动的服务器配置为恶意软件“分发”服务器。分发服务器用于分阶段部署LockerGoga勒索软件、附加实用程序和部署脚本,以自动安装勒索软件。 Mandiant确定了一个名为kill.bat、在环境中的系统上运行的实用程序脚本。此脚本包含一系列反取证命令,旨在禁用防病毒软件并破坏操作系统的稳定性。FIN6使用批处理脚本文件自动部署kill.bat和LockerGoga勒索软件。FIN6在恶意软件分发服务器上创建了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包含psexec命令,用于连接到远程系统并部署kill.bat和LockerGoga。FIN6将psexec服务名称重命名为“mstdc”,以便伪装成合法的Windows可执行文件“msdtc”。部署BAT文件中的示例字符串如图2所示。为了确保较高的成功率,攻击者使用了受损的域管理员凭据,而域管理员可以完全控制Active Directory环境中的Windows系统。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载