FireEye对FIN7犯罪团伙的追查分析(二)

xiaohui Web安全 2018年8月6日发布
Favorite收藏

导语:在《FireEye对FIN7犯罪团伙的追查分析(一)》中,我们曾对FIN7组织及其所使用的技术进行了介绍,今天就来讲讲如何预防此种攻击。

1533200579991897.jpg

《FireEye对FIN7犯罪团伙的追查分析(一)》中,我们曾对FIN7组织及其所使用的技术进行了介绍,今天就来讲讲如何预防此种攻击。

研究人员通过LNK文件泄露的元数据来监控FIN7

之前FireEye分享了FIN7创建的LNK文件是如何无意中泄露了关于它们的开发环境的有价值的信息的,LNK文件可以包含显示有关创建LNK的系统的属性的元数据,包括原始文件路径、卷序列号、MAC地址和主机名。通过研究LNK元数据中的值,就可以确定软件开发人员。

FIN7 LNK元数据显示,攻击者通常使用具有通用主机名(如ANDY-PC或USER-PC的虚拟机,以及具有WIN-[A-Z0-9]{11}(例如WIN- abdefgh1jk) 结构的默认主机名。

FireEye跟踪了与FIN7操作相关的几个主机名和路径工具标记,这些工具标记可能与参与工具开发或更广泛的犯罪活动的FIN7成员相关联。在FireEye收集的样本中,"andy" / "andy-pc","Hass","jimbo","Константин" (Konstantin),"oleg"这些成员的相关信息都被研究者一一挖了出来,然后通过这条线,再了解FIN7的系统,一旦未来的攻击活动出现这些人名,就可以迅速将其定义为恶意活动。此外,对FIN7的元数据分析还可以帮助研究者监控攻击组件新生成的文件,如果组件改变了TTP(策略、技术和程序),则研究人员就会使用已建立的工具标记来检查其他新出现的攻击方法,例如直接RDP或SMB访问。

回放FIN7操作中自带的视频

研究人员在分析FIN7的攻击时,发现了其恶意操作中的自定义视频录制功能,FireEye通过反汇编此了视频协议,该协议似乎是由FIN7定制编写的,因为它没有依赖外部代码库。代码中包含Cyrillic注释,并要求攻击者使用FIN7独有的自定义视频播放器。攻击者很可能在利用这种视频记录功能来监控受害者环境中的各种操作,以为后期攻击做准备。

FireEye从受信任的源代码中获得了恶意软件开发人员的视频播放器的一个版本,并凭借反向工程协议,FLARE团队修改了其中的源代码,以支持FIN7的多个版本的自定义编码。通过修改过的源代码,FireEye可以解码并回放FIN7所录制的监控视频。

FIN7最近的业务变化:由对金融机构的攻击转向对个人的攻击

在整个2018年,FireEye一直在继续使用与之前的相同的攻击模式识别多个域名,并使用不同TTP。在2018年注册的FIN7域名中,其中使用了ZIP格式的BIRDDOG后门文件,还在2018年注册的FIN7域名中被发现了。通过追踪发现,这些恶意文件最早于2017年9月就被传播给了东欧和中亚的一些金融机构的个人客户。尽管在这些攻击活动中金融组织也是FIN7的最终目标,但针对个人而非组织的目标标志着攻击者的目标已经发生重大转变。

此外,研究人员已经确定了FIN7活动在去年发起的BATELEUR攻击活动。Bateleur后门在去年就被其他犯罪组织用来攻击美国连锁餐厅。攻击者使用简单有效的电子邮件攻击连锁餐厅,如果电子邮件来自Outlook.com账号,文本声称“此文档由Outlook Protect Service加密”;如果使用Gmail账号发送,诱饵文档便会声称“此文档由Google Documents Protect Service加密”。文档中嵌入的宏会通过标题访问恶意有效载荷,之后从标题提取Bateleur,将内容保存到当前用户临时文件夹(%TMP%)中的debug.txt。接下来,宏会创建预定任务将debug.txt作为Bateleur后门执行,在删除预定任务之前,宏会休眠10秒。Bateleur后门功能强大Bateleur后门看起来相当复杂,同时实现了反沙盒和反分析(混淆)机制。分析指出,这款恶意Jscript后门功能强大,其功能包括反沙盒、反分析(混淆)、检索被感染系统信息、罗列运行进程、执行自定义命令和PowerShell脚本、加载EXE和DLL文件、截图、自行卸载并更新等功能,此外,该后门还可能具备渗漏密码的能力,而渗漏密码需要命令与控制(C&C)服务器的附加模块。

不过根据目前的证据显示,攻击者现在已经不利用Bateleur后门了,转而使用一种名为GRIFFON的最新JavaScript后门。

这表明,FIN7的为避免被发现,而进行的TTP多样化努力,不过也可能预示着FIN7组织出现了分裂,各自的小团体都可以选择自己的攻击方式。因此,我们需要保持警惕,继续监测FIN7采用的新的攻击方式。

FIN7的运行环境分析

Fig3.png

从2016年的combisecurity.com缓存中检索到的Combi Security标识

根据美国执法部门的掌握的证据,FIN7活动是由一家名为Combi Security的公司运作的。该公司网站的一份缓存显示,该公司自称是“大型信息系统综合保护领域的全球领导者”,总部位于莫斯科、海法和敖德萨。而且研究人员还在广受欢迎的俄罗斯、乌克兰和乌兹别克招聘网站上找到了Combi Security的招聘广告,这就像开头说的那样,FIN7活动的攻击是一个大型团队协同工作的结果。由于这些招聘信息似乎是合法的,一些人可能没有意识到他们工作的不正当性质。所以,这些而不知情的员工也是犯罪计划的一部分,Combi Security的这种做法很可能会导致未来有很多恶意组织效仿。

几乎可以肯定的是,FIN7背后的犯罪组织除了那些已经被执法当局逮捕的人之外,还有许多其他的重要成员。FireEye预计,这些漏网之鱼可能会接着以某种身份继续从事网络犯罪活动。尽管FIN7活动将继续存在下去,但很可能攻击者会修改他们的TTP,或暂时销声匿迹一段时间。

根据集团运行的模式,在遇到大型打击的情况下,攻击者可能会化整为零,分散成多个团体进行独立的运营。这可以从最近的活动迹象中看出,因为有些活动虽然看起来像是FIN7,但却并没有完全采用传统的FIN7模式,比如黑客入侵SEC系统。正如以上在CARBANAK的概述中所描述的那样,某些恶意软件家族和技术显然采用非传统的攻击模式,并且可能被开发人员重新设计。

FIN7攻击指标

网络钓鱼文档技术细节

除了LNK元数据之外,FIN7的钓鱼文档中始终包含了一些组件,它们详细描述了用于构建网络钓鱼文档的组件文件的本地文件系统路径。在下面的表中还包括了FIN7所使用的各种命令行混淆技术的样本。

3.1.jpg

3.2.jpg

3.3.jpg

FIN7策略、技术和程序指标

FireEye正在深入了解FIN7在攻击周期的多个阶段中的运行特点,以及识别此活动的证据和可疑的活动提示。

360截图162610109396106.jpg

更多攻击指标请点此页面查看。

本文翻译自:https://www.fireeye.com/blog/threat-research/2018/08/fin7-pursuing-an-enigmatic-and-evasive-global-criminal-operation.html如若转载,请注明原文地址: http://www.4hou.com/web/12890.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论