概述
2017年3月,黑客组织FIN7被曝光后销声匿迹了数月时间,但近期腾讯反病毒实验室检测到该APT组织又开始活跃,从2017年6月份以来,哈勃分析系统(https://habo.qq.com/)识别到该APT组织的多个样本,特别是10月份以来,该组织的渗透活动更加频繁。在最近几个月的时间中,该APT组织曾先后以call3、ru_vds1、new_public、translate1、private、Applebees为代号发起攻击活动。
FIN7组织的主要目标是国外金融机构,近期的攻击目标的也扩展到一些零售企业。该组织擅长使用非PE进行攻击,在攻击过程中很少有PE文件落地,同样,在此波的攻击活动中,该APT组织的主要的攻击载荷都是基于js脚本和powershell脚本进行,这在一定程度上躲避安全软件的查杀。
对该APT组织的概要如下:
| 攻击目标 | 金融机构,零售企业 |
|---|---|
| 攻击目的 | 窃取机密,获得经济利益 |
| 主要风险 | 商业机密文件被盗取 |
| 攻击入口 | 钓鱼邮件 |
| 使用漏洞 | 无 |
| 通信控制 | https通信 |
| 受影响应用 | Windows操作系统 |
| 分析摘要(TTP): | 1. 发送定向钓鱼邮件,诱导访问者执行附件文档中的宏代码 2. 宏代码执行后,会解密文档控件中的文本,解密出来的内容为js脚本 类木马,通过wscript加载执行 3. 通过计划任务做持久化,计划任务到时后,与CC通信接收控制指令 4. 整个攻击过程中没有PE文件,一定程度上躲避安全软件查杀 5. 恶意代码可与nishang,empire等渗透框架结合,实现本地认证凭据提取,横向移动等功能 |
分析
在整个攻击过程中,攻击者以钓鱼邮件为初始攻击载荷,邮件内容如下:
在邮件附件文档中,使用了恶意宏代码,不同钓鱼文档的界面大体如下,值的一提的是使用汉堡图片做为诱饵文档时的攻击目标是一家国外的食品公司。
在FIN7早期使用的宏代码中,宏代码会直接写入计划任务(如下),但在最新的FIN7的恶意宏代码已经进行了细微的改变,宏代码中去掉了创建计划任务的代码,转而将创建计划任务的工作放到了下一阶段的js脚本中进行。
钓鱼文档中的恶意payload保存在控件的标题中,如下:
为了达到混淆的目的,这些恶意payload使用了“|*|”分隔,宏的功能就是将控件标题中的payload提取出来,并保存到临时目录crashpad.ini文件,并使用wscripte.exe加载保存到临时目录下的crashpad.ini文件
crashpad.ini实际上为js脚本文件,使用wscript运行crashpad.ini时使用的命令格式为:
在crashpad.ini文件的头部有伪装的Adobe版权字样,在后面的攻击过程中恶意程序的计划任务也会伪装成Adobe的服务。
crashpad.ini使用了长变量名用来干扰分析,其主要功能就是拼接字符串,构造中间函数a,随后通过a函数构造最终的js木马Bateleur ,并通过new Function()();函数加载js木马执行。
其中构造出来的中间函数a:
使用a函数构造最终的合并单个字符的代码片段:
最终,构造出来的Bateleur 木马,可以看到该木马为1.0.6版本,同时还有一段“Hello fromQwazarius. One step ahead. Made in North Korea.”的字符串,这段字符串并不能表明攻击者就是来自于朝鲜国,很有可能是攻击者为了迷惑安全研究人员采取的假旗行动:
木马在最初的运行时,将自己拷贝到%APPDATA%\\Microsoft\\Window\\{install_dir}目录下,同时会将自己加入计划任务,每分钟运行一次,每次运行后从CC接收控制指令,这里的计划任务伪装成了adobe的任务。
可以看到计划任务的启动命令为:
Bateleur木马中有检测环境的代码。
包括从SMBIOSBIOSVersion中比较是不是有下面的字符串:
Virtualbox
Vmware
比较SerialNumber中是不是有下面字符串:
Vmware
Parallels
比较DeviceID中是否包含:
Vmware
PCI\\VEN_80EE&DEV_CAFE
VMWVMCIHOSTDEV
比较进程列表中是否包含:
autoit3.exe
dumpcap.exe
tshark.exe
prl_cc.exe
比较文件名字是否包含:
malware
sample
mlwr
Desktop
代码片段:
此外,Bateleur 木马还具有RAT类木马的常用功能,包括获取用户信息,远程shell命令执行,服务端更新、卸载,下载执行,屏幕截图,密码窃取等。具体的指令与对应的功能如下:
| 指令 | 功能 |
|---|---|
| get_information | 获得用户名,机器名,所在的域名,操作系统版本,屏幕大小,UAC开关,ARP表,网络连接等内容 |
| get_process_list | 获得进程名与进程ID |
| kill_process | 结束进程 |
| uninstall | 卸载木马服务端 |
| update | 更新木马服务端 |
| tinymet | 下载tinymet组件,支持多种传输协议 |
| exe | 下载文件保存成Feed.mxls后,使用cmd加载执行 |
| wexe | 下载文件保存成log.ini后,使用wmi加载执行 |
| dll | 下载文件保存成Feed.xml后,使用regsvr32加载执行 |
| cmd | 使用cmd执行指定的命令 |
| powershell | 使用cmd加载powershell执行命令 |
| apowershell | 直接使用powershell执行命令 |
| wpowershell | 使用wmi执行powershell命令 |
| make_screen | 屏幕截图 |
| get_passwords | 向CC请求powershell脚本用于窃取用户密码 |
| timeout | 无 |
腾讯反病毒实验室对此次FIN7组织的攻击活动中的钓鱼文档从文档的元属性(包括文档的最后修改时间),攻击中Bateleur木马的版本信息及行动代号进行了分析汇总,结果如下:
| 文档HASH | 文档最后修改时间 | CC | Bateleur版本 | Bateleur行动代号 |
|---|---|---|---|---|
| 8ca3631aeb9a1980e9a6514be32fe20e | 2017/10/14 1:59 | 85.93.2.111 | 1.0.6 | call3 |
| 9b1af2d9c0c0687c70466385800b6847 | 2017/07/18 1:15 | 195.133.48.65 | 1.0.4.1JS | ru_vds1 |
| 189c72bfd8ae31abcff5e7da691a7d30 | 2017/09/12 1:11 | 85.93.2.56 | 1.0.6 | new_public |
| 467062d2a5a341716c42c6d7f36ba0ed | 2017/06/23 23:26 | 195.133.49.73 | 1.0.3JS | |
| c4aabdcf19898d9c30c4c2edea0147f0 | 2017/10/25 15:45 | 31.184.234.66 | 1.0.6 | translate1 |
| dc8b30c5253f02a790a31f2853fe41f8 | 2017/10/10 2:09 | 185.5.248.167 | 1.0.6 | private |
| e6201af714dca6e030bad9c5d2188c7c | 2017/10/20 22:01 | 194.165.16.134 | 1.0.6 | Applebees |
对于195.133.48.65和195.133.49.73在FIN7之前的攻击活动中就使用过。其余的85.93.2.111、85.93.2.56、31.184.234.66、185.5.248.167、194.165.16.134被腾讯反病毒实验室威胁情报独家标识为FIN7组织的CC地址。
此次攻击过程中,以下细节值得注意:
1. 钓鱼文档都是英文内容,但从文档的code_page属性可以看到文档的默认语言为俄语,同时文档的作者属性中也为俄罗斯文字。
2. 使用的Bateleur木马版本跨越1.0.3、1.0.4、1.0.6多个版本,这可能暗示着攻击者正积极开发升级攻击工具。
3. 攻击者的定向目标不仅局限于金融行为,也正在向零售行业转移。
IOC
Hash:
| Hash | 文件名 | 描述 |
|---|---|---|
| 8ca3631aeb9a1980e9a6514be32fe20e | document1.doc | 钓鱼文档 |
| 9b1af2d9c0c0687c70466385800b6847 | check.doc | 钓鱼文档 |
| 189c72bfd8ae31abcff5e7da691a7d30 | Doc.doc | 钓鱼文档 |
| 467062d2a5a341716c42c6d7f36ba0ed | check.doc | 钓鱼文档 |
| c4aabdcf19898d9c30c4c2edea0147f0 | c4aabdcf19898d9c30c4c2edea0147f0 | 钓鱼文档 |
| dc8b30c5253f02a790a31f2853fe41f8 | invoices.doc | 钓鱼文档 |
| e6201af714dca6e030bad9c5d2188c7c | applebees.doc | 钓鱼文档 |
CC:
85.93.2.111:443
195.133.48.65:443
85.93.2.56:443
195.133.49.73:443
31.184.234.66:443
185.5.248.167:443
194.165.16.134:443
参考
https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html
暂无评论内容