内容简介:摘要近日,FireEye在对一个工程行业的客户做检测时发现了FIN6入侵的迹象,FIN6是FIN旗下的APT攻击组织之一,于2016年首次被发现,当时该组织使用Grabnew后门和FrameworkPOS恶意软件,来窃取超过1万张信用卡的详细资料。而此次入侵,似乎与FIN6的历史定位不符,因为该客户并没有支付卡相关的业务,所以我们一开始也很难猜测攻击者的入侵意图。但好在FireEye团队的分析师拥丰富的实践经验,在Managed Defense和Mandiant安全团队的帮助下,从数百项调查中整理出了一些线
摘要
近日,FireEye在对一个工程行业的客户做检测时发现了FIN6入侵的迹象,FIN6是FIN旗下的APT攻击组织之一,于2016年首次被发现,当时该组织使用Grabnew后门和FrameworkPOS恶意软件,来窃取超过1万张信用卡的详细资料。而此次入侵,似乎与FIN6的历史定位不符,因为该客户并没有支付卡相关的业务,所以我们一开始也很难猜测攻击者的入侵意图。但好在FireEye团队的分析师拥丰富的实践经验,在Managed Defense和Mandiant安全团队的帮助下,从数百项调查中整理出了一些线索。能够确定的一点是,FIN6已经扩大了他们的犯罪目标,通过安插勒索软件来进一步危害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技术和过程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的使用情况。在本例中,我们挽救了该客户可能高达数百万美元的损失。
检测和响应
FireEye Endpoint Security技术检测显示,FIN6对该客户的入侵尚处于初始阶段,通过盗窃凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等公开 工具 的使用来进行内部侦察、压缩数据并协助其整体任务。并且分析人员发现了可疑的SMB连接和Windows注册表构件,这些构件表明攻击者通过安装恶意Windows服务在远程系统上执行PowerShell命令。Windows Event Log则显示了负责服务安装的用户帐户详细信息,还带有一些其他的威胁指标,借此我们能确定此次行动的影响范围,以及对FIN6是否入侵了其他系统做识别。之后我们使用Windows Registry Shellbag条目重建了FIN6在受损系统上横向移动时的操作。
攻击链
建立立足点和特权升级
为了在开始时获得对环境的访问权限,FIN6会破坏面向互联网的系统,在此之后FIN6利用窃取的凭证,通过Windows的远程桌面协议(RDP)在环境中横向移动。
在RDP连接到系统之后,FIN6使用了两种不同的技术来建立立足点:
第一类技术:FIN6使用PowerShell执行编码的命令。该命令由一个字节数组组成,其中包含一个base64编码的负载,如图1所示。
图1:Base64编码命令
此负载是Cobalt Strike httpsstager,它被注入运行该命令的PowerShell进程中。Cobalt Strike httpsstager被配置为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被配置为从hxxps://176.126.85[.]207/ca处下载第三个负载。我们无法确定最终的负载,因为在我们的分析期间,链接所在的服务器已不再对其进行托管了。
第二类技术:FIN6还利用Metasploit创建的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来执行经过编码的PowerShell命令。这是由于使用Metasploit时将默认创建16个字符的服务。编码的命令包含一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像第一类技术一样。Metasploit反向HTTP负载被配置为,在TCP端口443上使用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通信。这个C2 URL包含的shellcode 将发出HTTPS请求以获取额外的下载。
为了在环境中实现特权升级,FIN6使用了Metasploit框架中包含的命名管道模拟技术,该技术允许系统级特权升级。
内部侦察与横向运动
FIN6使用一个Windows批处理文件进行内部侦察,此批处理文件能利用Adfind查询Active Directory,然后使用7-zip压缩结果并进行提取:
adfind.exe -f(objectcategory = person)> ad_users.txt adfind.exe -f objectcategory = computer> ad_computers.txt adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt adfind.exe -f“(objectcategory = group)”> ad_group.txt adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt 7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、组织单元、子网、组和信任关系。通过这些输出,FIN6能够识别有权限访问域中其他主机的用户帐户。对于横向移动,FIN6使用了另一组凭证,这些凭证的成员属于域中的其他组、RDP或其他主机。
保持存在
由于客户已预先安装了FireEye Endpoint Security,它能切断攻击者对系统的访问,而攻击者的入侵痕迹仍然保持完整,可以进行远程分析。因此FIN6无法保持存在,进而进一步实现他们的攻击目标。
FireEye观察到,FIN6入侵后部署了勒索软件Ryuk或LockerGoga。
横向移动
FIN6使用编码的PowerShell命令在受损系统上安装Cobalt Strike。通过Cobalt Strike的横向移动命令“psexec”,能在目标系统上创建一个随机的16个字符串的Windows服务,并执行编码的PowerShell,在某些情况下,此PowerShell命令用于下载和执行站点hxxps://pastebin[.]com上托管的内容。
完成使命
FIN6还会将利用RDP在环境中横向移动的服务器配置为恶意软件“分发”服务器。分发服务器用于分阶段部署LockerGoga勒索软件、附加实用程序和部署脚本,以自动安装勒索软件。 Mandiant确定了一个名为kill.bat、在环境中的系统上运行的实用程序脚本。此脚本包含一系列反取证命令,旨在禁用防病毒软件并破坏操作系统的稳定性。FIN6使用批处理脚本文件自动部署kill.bat和LockerGoga勒索软件。FIN6在恶意软件分发服务器上创建了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包含psexec命令,用于连接到远程系统并部署kill.bat和LockerGoga。FIN6将psexec服务名称重命名为“mstdc”,以便伪装成合法的Windows可执行文件“msdtc”。部署BAT文件中的示例字符串如图2所示。为了确保较高的成功率,攻击者使用了受损的域管理员凭据,而域管理员可以完全控制Active Directory环境中的Windows系统。
start copy svchost.exe \\10.1.1.1\c$\windows\temp\start psexec.exe \\10.1.1.1 -u domain\domainadmin -p "password" -d -h -r mstdc -s -accepteula -nobanner c:\windows\temp\svchost.exe
勒索软件Ryuk是一种勒索软件,它使用公共密钥加密和对称密钥加密的组合来加密主机上的文件。LockerGoga是一个勒索软件,它使用1024位RSA和128位AES加密来加密文件,并在根目录和共享桌面目录中留下勒索信息。
总结
从以往来看,FIN6主要是盗窃销售点(POS)或电子商务系统的支付卡数据,此次事件却把矛头指向了工程行业。而从Mandiant事件响应调查和FireEye情报研究的综合结果来看,最近发生的多起利用Ryuk和LockerGoga的事件都与FIN6有关。最早一起事件可追溯到2018年7月,据报道,受害者为此损失了数千万美元。新型攻击事件发生的频率越来越多,FIN6已经越来越不像过去那个针对销售点(POS)环境入侵、部署TRINITY恶意软件以及其他明显特点的FIN6。FIN6团体可能已经改变了他们的运营策略,专注于对勒索软件的运用。但是,根据这些勒索软件事件与历史FIN6活动之间的战术差异,也可能是一些FIN6运营人员独立于组织支付卡盗窃的业务进行勒索软件分发的。上述情况无论是哪一种发生,都会影响该组织对信用卡威胁程度的走向。我们在整理犯罪活动时也经常遇到这种归因挑战。鉴于这些入侵持续了将近一年的时间,我们估计,只有更进一步深入了解攻击团伙的入侵企图后,才能够更全面地回答有关FIN6当前状态的这些问题。
IoC
检测技术
下表包含几个特定的检测名称,包括用于初始感染活动的几个工具和技术的方法学检测,以及FIN6使用的勒索软件的其他检测名称。
以上所述就是小编给大家介绍的《从支付卡盗窃到工业勒索,FIN6威胁组织开始转型?》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 瞄准大型组织进行勒索:详细分析BitPaymer勒索软件
- GarrantyDecrypt勒索病毒又来?教你如何免受勒索软件的侵害
- GandCrab后继者?Sodinoki勒索软件针对中国用户进行勒索攻击
- 一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕
- JSWorm勒索病毒变种通过垃圾邮件传播,该勒索病毒已可被解密
- 勒索病毒攻防演练
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。