从支付卡盗窃到工业勒索,FIN6威胁组织开始转型?

Change Web安全 2019年4月10日发布
Favorite收藏

导语:这篇文章旨在介绍FIN6最新的战术、技术和过程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的使用情况。

摘要

近日,FireEye在对一个工程行业的客户做检测时发现了FIN6入侵的迹象,FIN6是FIN旗下的APT攻击组织之一,于2016年首次被发现,当时该组织使用Grabnew后门和FrameworkPOS恶意软件,来窃取超过1万张信用卡的详细资料。而此次入侵,似乎与FIN6的历史定位不符,因为该客户并没有支付卡相关的业务,所以我们一开始也很难猜测攻击者的入侵意图。但好在FireEye团队的分析师拥丰富的实践经验,在Managed Defense和Mandiant安全团队的帮助下,从数百项调查中整理出了一些线索。能够确定的一点是,FIN6已经扩大了他们的犯罪目标,通过安插勒索软件来进一步危害实体企业获利。

这篇文章旨在介绍FIN6最新的战术、技术和过程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的使用情况。在本例中,我们挽救了该客户可能高达数百万美元的损失。

检测和响应

FireEye Endpoint Security技术检测显示,FIN6对该客户的入侵尚处于初始阶段,通过盗窃凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等公开工具的使用来进行内部侦察、压缩数据并协助其整体任务。并且分析人员发现了可疑的SMB连接和Windows注册表构件,这些构件表明攻击者通过安装恶意Windows服务在远程系统上执行PowerShell命令。Windows Event Log则显示了负责服务安装的用户帐户详细信息,还带有一些其他的威胁指标,借此我们能确定此次行动的影响范围,以及对FIN6是否入侵了其他系统做识别。之后我们使用Windows Registry Shellbag条目重建了FIN6在受损系统上横向移动时的操作。

攻击链

建立立足点和特权升级

为了在开始时获得对环境的访问权限,FIN6会破坏面向互联网的系统,在此之后FIN6利用窃取的凭证,通过Windows的远程桌面协议(RDP)在环境中横向移动。

在RDP连接到系统之后,FIN6使用了两种不同的技术来建立立足点:

第一类技术:FIN6使用PowerShell执行编码的命令。该命令由一个字节数组组成,其中包含一个base64编码的负载,如图1所示。

Picture1.png

图1:Base64编码命令

此负载是Cobalt Strike httpsstager,它被注入运行该命令的PowerShell进程中。Cobalt Strike httpsstager被配置为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被配置为从hxxps://176.126.85[.]207/ca处下载第三个负载。我们无法确定最终的负载,因为在我们的分析期间,链接所在的服务器已不再对其进行托管了。

第二类技术:FIN6还利用Metasploit创建的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来执行经过编码的PowerShell命令。这是由于使用Metasploit时将默认创建16个字符的服务。编码的命令包含一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像第一类技术一样。Metasploit反向HTTP负载被配置为,在TCP端口443上使用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通信。这个C2 URL包含的shellcode 将发出HTTPS请求以获取额外的下载。

为了在环境中实现特权升级,FIN6使用了Metasploit框架中包含的命名管道模拟技术,该技术允许系统级特权升级。

内部侦察与横向运动

FIN6使用一个Windows批处理文件进行内部侦察,此批处理文件能利用Adfind查询Active Directory,然后使用7-zip压缩结果并进行提取:

adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *

批处理文件的输出包括Active Directory用户、计算机、组织单元、子网、组和信任关系。通过这些输出,FIN6能够识别有权限访问域中其他主机的用户帐户。对于横向移动,FIN6使用了另一组凭证,这些凭证的成员属于域中的其他组、RDP或其他主机。

保持存在

由于客户已预先安装了FireEye Endpoint Security,它能切断攻击者对系统的访问,而攻击者的入侵痕迹仍然保持完整,可以进行远程分析。因此FIN6无法保持存在,进而进一步实现他们的攻击目标。

FireEye观察到,FIN6入侵后部署了勒索软件Ryuk或LockerGoga。

横向移动

FIN6使用编码的PowerShell命令在受损系统上安装Cobalt Strike。通过Cobalt Strike的横向移动命令“psexec”,能在目标系统上创建一个随机的16个字符串的Windows服务,并执行编码的PowerShell,在某些情况下,此PowerShell命令用于下载和执行站点hxxps://pastebin[.]com上托管的内容。

完成使命

FIN6还会将利用RDP在环境中横向移动的服务器配置为恶意软件“分发”服务器。分发服务器用于分阶段部署LockerGoga勒索软件、附加实用程序和部署脚本,以自动安装勒索软件。 Mandiant确定了一个名为kill.bat、在环境中的系统上运行的实用程序脚本。此脚本包含一系列反取证命令,旨在禁用防病毒软件并破坏操作系统的稳定性。FIN6使用批处理脚本文件自动部署kill.bat和LockerGoga勒索软件。FIN6在恶意软件分发服务器上创建了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包含psexec命令,用于连接到远程系统并部署kill.bat和LockerGoga。FIN6将psexec服务名称重命名为“mstdc”,以便伪装成合法的Windows可执行文件“msdtc”。部署BAT文件中的示例字符串如图2所示。为了确保较高的成功率,攻击者使用了受损的域管理员凭据,而域管理员可以完全控制Active Directory环境中的Windows系统。

start copy svchost.exe \\10.1.1.1\c$\windows\temp\start psexec.exe \\10.1.1.1 -u domain\domainadmin -p "password" -d -h -r mstdc -s -accepteula -nobanner c:\windows\temp\svchost.exe

勒索软件Ryuk是一种勒索软件,它使用公共密钥加密和对称密钥加密的组合来加密主机上的文件。LockerGoga是一个勒索软件,它使用1024位RSA和128位AES加密来加密文件,并在根目录和共享桌面目录中留下勒索信息。

总结

从以往来看,FIN6主要是盗窃销售点(POS)或电子商务系统的支付卡数据,此次事件却把矛头指向了工程行业。而从Mandiant事件响应调查和FireEye情报研究的综合结果来看,最近发生的多起利用Ryuk和LockerGoga的事件都与FIN6有关。最早一起事件可追溯到2018年7月,据报道,受害者为此损失了数千万美元。新型攻击事件发生的频率越来越多,FIN6已经越来越不像过去那个针对销售点(POS)环境入侵、部署TRINITY恶意软件以及其他明显特点的FIN6。FIN6团体可能已经改变了他们的运营策略,专注于对勒索软件的运用。但是,根据这些勒索软件事件与历史FIN6活动之间的战术差异,也可能是一些FIN6运营人员独立于组织支付卡盗窃的业务进行勒索软件分发的。上述情况无论是哪一种发生,都会影响该组织对信用卡威胁程度的走向。我们在整理犯罪活动时也经常遇到这种归因挑战。鉴于这些入侵持续了将近一年的时间,我们估计,只有更进一步深入了解攻击团伙的入侵企图后,才能够更全面地回答有关FIN6当前状态的这些问题。

IoC

1.png

检测技术

下表包含几个特定的检测名称,包括用于初始感染活动的几个工具和技术的方法学检测,以及FIN6使用的勒索软件的其他检测名称。

4.png

本文翻译自:https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html如若转载,请注明原文地址: https://www.4hou.com/web/17247.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论