从付出卡偷找到工业勒索,FIN6要挟安排开端转型?

近来,FireEye在对一个工程职业的客户做检测时发现了FIN6侵略的痕迹,FIN6是FIN旗下的APT进犯安排之一,于2019年初次被发现,其时该安排运用Grabnew后门和FrameworkPOS歹意软件,来盗取超越1万...

近来,FireEye在对一个工程职业的客户做检测时发现了FIN6侵略的痕迹,FIN6是FIN旗下的APT进犯安排之一,于2019年初次被发现,其时该安排运用Grabnew后门和FrameworkPOS歹意软件,来盗取超越1万张信用卡的详细资料。而此次侵略,好像与FIN6的前史定位不符,因为该客户并没有付出卡相关的事务,所以咱们一开始也很难猜想进犯者的侵略目的。但好在FireEye团队的剖析师拥丰厚的实践经验,在Managed Defense和Mandiant安全团队的帮忙下,从数百项查询中收拾出了一些头绪。能够确认的一点是,FIN6现已扩展了他们的违法方针,经过安插勒索软件来进一步损害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技能和进程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的运用情况。在本例中,咱们挽救了该客户或许高达数百万美米的丢失。
检测和呼应
FireEye Endpoint Security技能检测显现,FIN6对该客户的侵略尚处于初始阶段,经过偷盗凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等揭露东西的运用来进行内部侦查、紧缩数据并帮忙其全体使命。而且剖析人员发现了可疑的SMB衔接和Windows注册表构件,这些构件标明进犯者经过装置歹意Windows服务在长途体系上履行PowerShell指令。Windows Event Log则显现了担任服务装置的用户帐户详细信息,还带有一些其他的要挟方针,借此咱们能确认此次举动的影响规模,以及对FIN6是否侵略了其他体系做辨认。之后咱们运用Windows Registry Shellbag条目重建了FIN6在受损体系上横向移动时的操作。
进犯链
树立立足点和特权晋级
为了在开始时取得对环境的拜访权限,FIN6会损坏面向互联网的体系,在此之后FIN6运用盗取的凭证,经过Windows的长途桌面协议(RDP)在环境中横向移动。
在RDP衔接到体系之后,FIN6运用了两种不同的技能来树立立足点:
第一类技能:FIN6运用PowerShell履行编码的指令。该指令由一个字节数组组成,其间包括一个base64编码的负载,如图1所示。

图1:Base64编码指令
此负载是Cobalt Strike httpsstager,它被注入运转该指令的PowerShell进程中。Cobalt Strike httpsstager被装备为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被装备为从hxxps://176.126.85[.]207/ca处下载第三个负载。咱们无法确认终究的负载,因为在咱们的剖析期间,链接地点的服务器已不再对其进行保管了。
第二类技能:FIN6还运用Metasploit创立的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来履行经过编码的PowerShell指令。这是因为运用Metasploit时将默许创立16个字符的服务。编码的指令包括一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像第一类技能相同。Metasploit反向HTTP负载被装备为,在TCP端口443上运用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通讯。这个C2 URL包括的shellcode 将宣布HTTPS恳求以获取额定的下载。
为了在环境中完成特权晋级,FIN6运用了Metasploit结构中包括的命名管道模仿技能,该技能答应体系级特权晋级。
内部侦查与横向运动
FIN6运用一个Windows批处理文件进行内部侦查,此批处理文件能运用Adfind查询Active Directory,然后运用7-zip紧缩成果并进行提取:
adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、安排单米、子网、组和信赖联系。经过这些输出,FIN6能够辨认有权限拜访域中其他主机的用户帐户。关于横向移动,FIN6运用了另一组凭证,这些凭证的成员归于域中的其他组、RDP或其他主机。
坚持存在
因为客户已预先装置了FireEye Endpoint Security,它能堵截进犯者对体系的拜访,而进犯者的侵略痕迹依然坚持完好,能够进行长途剖析。因而FIN6无法坚持存在,从而进一步完成他们的进犯方针。
FireEye观察到,FIN6侵略后布置了勒索软件Ryuk或LockerGoga。
横向移动
FIN6运用编码的PowerShell指令在受损体系上装置Cobalt Strike。经过Cobalt Strike的横向移动指令“psexec”,能在方针体系上创立一个随机的16个字符串的Windows服务,并履行编码的PowerShell,在某些情况下,此PowerShell指令用于下载和履行站点hxxps://pastebin[.]com上保管的内容。
完成使命
FIN6还会将运用RDP在环境中横向移动的服务器装备为歹意软件“分发”服务器。分发服务器用于分阶段布置LockerGoga勒索软件、附加实用程序和布置脚本,以主动装置勒索软件。 Mandiant确认了一个名为kill.bat、在环境中的体系上运转的实用程序脚本。此脚本包括一系列反取证指令,旨在禁用防病毒软件并损坏操作体系的稳定性。FIN6运用批处理脚本文件主动布置kill.bat和LockerGoga勒索软件。FIN6在歹意软件分发服务器上创立了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包括psexec指令,用于衔接到长途体系并布置kill.bat和LockerGoga。FIN6将psexec服务称号重命名为“mstdc”,以便伪装成合法的Windows可履行文件“msdtc”。布置BAT文件中的示例字符串如图2所示。为了保证较高的成功率,进犯者运用了受损的域管理员凭证,而域管理员能够彻底操控Active Directory环境中的Windows体系。

[1] [2]  黑客接单网

  • 发表于 2021-04-09 12:31
  • 阅读 ( 168 )
  • 分类:互联网

0 条评论

请先 登录 后评论
你祖宗
你祖宗

706 篇文章

你可能感兴趣的文章

相关问题