欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

FIN7 2.0归来:“借尸还魂”的可疑组织们

来源:本站整理 作者:佚名 时间:2019-05-14 TAG: 我要投稿

2018年8月1日,美国司法部宣布逮捕了几名涉嫌与FIN7网络犯罪组织相关的嫌疑人。 FIN7从2015年起开始运营,曾针对数百家公司开展过入侵行动,FIN7的幕后策划者还通过开办假公司,雇佣远程测试人员、开发人员和翻译人员参与他们的恶意业务。其恶意活动的主要目的是窃取公司的金融资产(如借记卡),或取得财务部门的电脑权限和金融数据,进而盗取公司资金。
在2018年至2019年期间,卡巴斯基实验室分析了以往与FIN7相同TTPs(战术、技术和过程)的各类行动,得出的结论让研究人员确信:虽然FIN7的相关行为人已被逮捕,但并不意味着FIN7活动的终结。此外,在调查过程中,我们发现了某(些)恶意组织似乎复制了FIN7的套路。
最近的FIN7活动
去年一整年,FIN7把精力都集中在了鱼叉式钓鱼活动上,FIN7的钓鱼活动往往具有高针对性,在多起案例中我们看到,FIN7在发送恶意文件前会与受害者交换数周的信息。2018年,FIN7光是在钓鱼活动中使用的一个域名就包含130多个电子邮件别名,说明应该是有超过130家公司成为了他们的攻击目标。
恶意文件
我们已经看到两种类型的钓鱼文件。第一种利用Microsoft Word的INCLUDEPICTURE功能获取有关受害者计算机的上下文信息、Microsoft Word的可用性和版本号。第二种在多数情况下是设置了简单密码的Office文档(例如“12345”,“1234”等),利用宏在目标计算机上植入GRIFFON,宏也会调度任务以使GRIFFON持久化。
并且,FIN7还会利用公开发表的、关于其他恶意组织攻击手段的一些研究报告,来改进他们的手法。比如FIN7可能就参考了Cobalt组织(一个专门破坏网络金融机构和银行的威胁阻止)ThreadKit工具,来开发他们的恶意Office文档构建器,在2018年夏季他们曾使用过这个工具。新的构建器能在Author和Company元数据字段中插入随机值,还能让攻击者修改威胁指标,例如wscript.exe或sctasks.exe副本的文件名等。

表1.从使用sctasks实现GRIFFON持久性的文档中提取威胁指标

表2.从与GRIFFON相关的常规文档中提取的威胁指标
GRIFFON植入

图1.Griffon恶意软件攻击模式
GRIFFON是一种轻量级、校验器样式的JScript,没有任何持久性机制。它是为接收模块而设计的,这些模块将在内存中执行,并将结果发送到C2。在调查过程中,我们得到了四个不同的模块。
侦察模块
GRIFFON恶意软件下载到受害者计算机的第一个模块是用于信息收集的JScript,能让攻击者了解受感染工作站的上下文。该模块主要依靠WMI和Windows对象来传递结果,并将结果发送回攻击者。在侦察阶段,该模块会从系统中检索了20多个部分,从操作系统安装的日期时间、到Windows域中的成员关系、再到工作站监视器的列表和分辨率等。
Meterpreter下载器
攻击者使用第二个模块来执行一个混淆的PowerShell脚本,该脚本包含一个被称为“Tinymet”的Meterpreter下载器。在过去的FIN7活动中我们也看到过这个下载器,它会下载一个单字节、经过异或加密的meterpreter shellcode来执行。
截图模块
第三个模块允许攻击者截取远程系统的屏幕截图。为此,它将PowerShell脚本放到工作站上去执行,该脚本会执行用于截取屏幕截图的开源.NET类。生成的屏幕截图保存在“%TMP%/image.png”,由GRIFFON发送回攻击者后自行删除。
持久性模块
最后检索到的模块是一个持久性模块。如果受害者对攻击者有价值,GRIFFON植入安装程序就会被推送到受害者的工作站。此模块将GRIFFON植入的另一个实例存储在注册表中以实现持久性,这是一种PowerLinks样式的方法,用于在每个用户登录时实现持久性并执行GRIFFON植入。新的GRIFFON在每次执行之前都被写入硬盘驱动器,从而做到了“无文件”感染。
GRIFFON不仅体量轻,而且结构也是模块化的,堪称完美的校验器。尽管我们已经检索出四个不同的模块,但FIN7可能在他们的工具集中有更多的模块来实现他们在受害者工作站上的目标。
寻找GRIFFON基础设施
攻击者往往都会露出蛛丝马迹,FIN7也不例外。去年,操作人员犯的一个主要错误使我们能够跟踪GRIFFON植入的命令和控制服务器。为了欺骗蓝队和其他DFIR分析师,FIN7在他们的C2s服务器上创建了假的HTTP 302重定向到各种Google服务。
HTTP/1.1 302 Found
Server: nginx
Date: [retracted]
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: keep-alive
Location: https://cloud.google.com/cdn/
上述代码说明,在端口443上会返回大多数GRIFFON C2s服务器的标头。
这个错误让我们可以一周周地跟踪FIN7的基础设施,直到2018年12月底,有人在Twitter上推出了跟踪C2的启发式算法。在这条推文发布几天后,也就是2019年1月,FIN7就立刻改变了登陆页面以防跟踪。
假冒的渗透测试公司
在与GRIFFON基础设施相关的调查过程中,我们发现GRIFFON C2的WHOIS旧记录与假公司网站之间存在奇怪的重叠。
据该网站称,该域名属于某个“俄罗斯政府全资拥有”的合法安全公司,并在“莫斯科,圣彼得堡和叶卡捷琳堡”设有办事处,但地址却显示该公司位于纽约的特朗普大厦。鉴于FIN7之前也有假冒证券公司的经历,我们决定再次深入挖掘。
当我们查看网站的内容时,明显能看出几乎所有使用的文本都是从合法的安全公司网站中提取的。短语和句子从以下公司网站中复制粘贴:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载