从付出卡偷窃到产业讹诈,FIN6要挟构造最先转型? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

从付出卡偷窃到产业讹诈,FIN6要挟构造最先转型?

申博_新闻事件 申博 215次浏览 已收录 0个评论

NSC 2019网络安全大会将于6月举行

第七届中国网络安全大会(NSC 2019)将于6月13日在北京国家会议中心举行。大会由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟及百家行业联盟共同主办。 中国网络安全大会历经

择要

近日,FireEye在对一个工程行业的客户做检测时发明了FIN6入侵的迹象,FIN6是FIN旗下的APT进击构造之一,于2016年初次被发明,事先该构造应用Grabnew后门和FrameworkPOS歹意软件,来盗取凌驾1万张信用卡的详细资料。而此次入侵,好像与FIN6的汗青定位不符,因为该客户并没有付出卡相干的营业,以是我们一开始也很难预测进击者的入侵希图。但幸亏FireEye团队的剖析师拥雄厚的实践经验,在Managed Defense和Mandiant平安团队的资助下,从数百项观察中整顿出了一些线索。能够或许肯定的一点是,FIN6已扩展了他们的立功目的,经由历程安插讹诈软件来进一步伤害实体企业赢利。

这篇文章旨在引见FIN6最新的战术、手艺和历程(TTPs),包孕FIN6对LockerGoga和Ryuk讹诈软件的应用情况。在本例中,我们挽救了该客户能够高达数百万美元的丧失。

检测和相应

FireEye Endpoint Security手艺检测显现,FIN6对该客户的入侵尚处于初始阶段,经由历程偷窃凭证,和对Cobalt Strike、Metasploit、Adfind和7-Zip等公然对象的应用来举行内部侦探、紧缩数据并辅佐其整体义务。而且剖析职员发明了可疑的SMB衔接和Windows注册表构件,这些构件注解进击者经由历程装置歹意Windows效劳在长途体系上实行PowerShell敕令。Windows Event Log则显现了卖力效劳装置的用户帐户详细信息,还带有一些其他的要挟目标,借此我们能肯定此次行为的影响局限,和对FIN6是不是入侵了其他体系做辨认。以后我们应用Windows Registry Shellbag条目重建了FIN6在受损体系上横向挪动时的操纵。

进击链

竖立立足点和特权晋级

为了在开始时取得对情况的接见权限,FIN6会损坏面向互联网的体系,在此以后FIN6应用盗取的凭证,经由历程Windows的长途桌面协定(RDP)在情况中横向挪动。

在RDP衔接到体系以后,FIN6应用了两种分歧的手艺来竖立立足点:

第一类手艺:FIN6应用PowerShell实行编码的敕令。该敕令由一个字节数组构成,个中包罗一个base64编码的负载,如图1所示。

从付出卡偷窃到产业讹诈,FIN6要挟构造最先转型?

图1:Base64编码敕令

此负载是Cobalt Strike httpsstager,它被注入运转该敕令的PowerShell历程中。Cobalt Strike httpsstager被设置装备摆设为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发明,它是一个shellcode负载,被设置装备摆设为从hxxps://176.126.85[.]207/ca处下载第三个负载。我们没法肯定终究的负载,因为在我们的剖析时期,链接地点的效劳器已不再对其举行托管了。

第二类手艺:FIN6还应用Metasploit建立的Windows效劳(以随机的16个字符串定名,如IXiCDtPbtGWnrAGQ)来实行经由编码的PowerShell敕令。这是因为应用Metasploit时将默许建立16个字符的效劳。编码的敕令包罗一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像第一类手艺一样。Metasploit反向HTTP负载被设置装备摆设为,在TCP端口443上应用随机定名的资本,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地点:176.126.85[.]207)举行通讯。这个C2 URL包罗的shellcode 将发出HTTPS要求以猎取分外的下载。

为了在情况中完成特权晋级,FIN6应用了Metasploit框架中包罗的定名管道模仿手艺,该手艺许可体系级特权晋级。

内部侦探与横向运动

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

FIN6应用一个Windows批处理文件举行内部侦探,此批处理文件能应用Adfind查询Active Directory,然后应用7-zip紧缩效果并举行提取:

adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *

批处理文件的输出包孕Active Directory用户、计算机、构造单位、子网、组和信托干系。经由历程这些输出,FIN6能够或许辨认有权限接见域中其他主机的用户帐户。关于横向挪动,FIN6应用了另一组凭证,这些凭证的成员属于域中的其他组、RDP或其他主机。

连结存在

因为客户已预先装置了FireEye Endpoint Security,它能割断进击者对体系的接见,而进击者的入侵陈迹依然连结完整,能够举行长途剖析。因而FIN6没法连结存在,进而进一步完成他们的进击目的。

FireEye观察到,FIN6入侵后布置了讹诈软件Ryuk或LockerGoga。

横向挪动

FIN6应用编码的PowerShell敕令在受损体系上装置Cobalt Strike。经由历程Cobalt Strike的横向挪动敕令“psexec”,能在目的体系上建立一个随机的16个字符串的Windows效劳,并实行编码的PowerShell,在某些情况下,此PowerShell敕令用于下载和实行站点hxxps://pastebin[.]com上托管的内容。

完成使命

FIN6还会将应用RDP在情况中横向挪动的效劳器设置装备摆设为歹意软件“分发”效劳器。分发效劳器用于分阶段布置LockerGoga讹诈软件、附加实用程序和布置剧本,以自动装置讹诈软件。 Mandiant肯定了一个名为kill.bat、在情况中的体系上运转的实用程序剧本。此剧本包罗一系列反取证敕令,旨在禁用防病毒软件并损坏操纵体系的稳定性。FIN6应用批处理剧本文件自动布置kill.bat和LockerGoga讹诈软件。FIN6在歹意软件分发效劳器上建立了很多BAT文件,定名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包罗psexec敕令,用于衔接到长途体系并布置kill.bat和LockerGoga。FIN6将psexec效劳称号重定名为“mstdc”,以便伪装成正当的Windows可实行文件“msdtc”。布置BAT文件中的示例字符串如图2所示。为了确保较高的成功率,进击者应用了受损的域管理员凭证,而域管理员能够完整掌握Active Directory情况中的Windows体系。

start copy svchost.exe \\10.1.1.1\c$\windows\temp\start psexec.exe \\10.1.1.1 -u domain\domainadmin -p "password" -d -h -r mstdc -s -accepteula -nobanner c:\windows\temp\svchost.exe

讹诈软件Ryuk是一种讹诈软件,它应用大众密钥加密和对称密钥加密的组合来加密主机上的文件。LockerGoga是一个讹诈软件,它应用1024位RSA和128位AES加密来加密文件,并在根目次和同享桌面目次中留下讹诈信息。

总结

从以往来看,FIN6主如果偷窃销售点(POS)或电子商务体系的付出卡数据,此次事宜却把锋芒指向了工程行业。而从Mandiant事宜相应观察和FireEye情报研究的综合效果来看,近来发作的多起应用Ryuk和LockerGoga的事宜都与FIN6有关。最早一同事宜可追溯到2018年7月,据报道,受害者为此丧失了数千万美元。新型进击事宜发作的频次愈来愈多,FIN6已愈来愈不像曩昔谁人针对销售点(POS)情况入侵、布置TRINITY歹意软件和其他显着特性的FIN6。FIN6整体能够已改变了他们的运营战略,专注于对讹诈软件的应用。然则,依据这些讹诈软件事宜与汗青FIN6运动之间的战术差别,也多是一些FIN6运营职员独立于构造付出卡偷窃的营业举行讹诈软件分发的。上述情况无论是哪种发作,都邑影响该构造对信用卡要挟水平的走向。我们在整顿立功运动时也常常碰到这类归因应战。鉴于这些入侵延续了快要一年的时候,我们预计,只要更进一步深切相识进击团伙的入侵希图后,才能够或许更周全地回覆有关FIN6以后状况的这些题目。

IoC

从付出卡偷窃到产业讹诈,FIN6要挟构造最先转型?

检测手艺

下表包罗几个特定的检测称号,包孕用于初始沾染运动的几个对象和手艺的方法学检测,和FIN6应用的讹诈软件的其他检测称号。

TP-LINK路由器缓冲区溢出0 day 漏洞

路由器已经成为我们日常生活的必需品,在家庭和办公室随处可见。人们依赖路由器进行通信、银行交易、网上购物等等。IBM安全研究人员Grzegorz Wypych对消费者使用的最广泛的互联网路由器TP-Link WR-940进行了分析,发现其中存在一个0 day


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明从付出卡偷窃到产业讹诈,FIN6要挟构造最先转型?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址