近来，FireEye在对一个工程职业的客户做检测时发现了FIN6侵略的痕迹，FIN6是FIN旗下的APT进犯安排之一，于2019年初次被发现，其时该安排运用Grabnew后门和FrameworkPOS歹意软件，来盗取超越1万张信用卡的详细资料。而此次侵略，好像与FIN6的前史定位不符，因为该客户并没有付出卡相关的事务，所以咱们一开始也很难猜想进犯者的侵略目的。但好在FireEye团队的剖析师拥丰厚的实践经验，在Managed Defense和Mandiant安全团队的帮忙下，从数百项查询中收拾出了一些头绪。能够确认的一点是，FIN6现已扩展了他们的违法方针，经过安插勒索软件来进一步损害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技能和进程(TTPs)，包括FIN6对LockerGoga和Ryuk勒索软件的运用情况。在本例中，咱们挽救了该客户或许高达数百万美元的丢失。
检测和呼应
FireEye Endpoint Security技能检测显现，FIN6对该客户的侵略尚处于初始阶段，经过偷盗凭证，以及对Cobalt Strike、Metasploit、Adfind和7-Zip等揭露东西的运用来进行内部侦查、紧缩数据并帮忙其全体使命。而且剖析人员发现了可疑的 *** B衔接和Windows注册表构件，这些构件标明进犯者经过装置歹意Windows服务在长途体系上履行PowerShell指令。Windows Event Log则显现了担任服务装置的用户帐户详细信息，还带有一些其他的要挟方针，借此咱们能确认此次举动的影响规模，以及对FIN6是否侵略了其他体系做辨认。之后咱们运用Windows Registry Shellbag条目重建了FIN6在受损体系上横向移动时的操作。
进犯链
树立立足点和特权晋级
为了在开始时取得对环境的拜访权限，FIN6会损坏面向互联网的体系，在此之后FIN6运用盗取的凭证，经过Windows的长途桌面协议（RDP）在环境中横向移动。
在RDP衔接到体系之后，FIN6运用了两种不同的技能来树立立足点:
之一类技能:FIN6运用PowerShell履行编码的指令。该指令由一个字节数组组成，其间包括一个base64编码的负载，如图1所示。

图1：Base64编码指令
此负载是Cobalt Strike httpsstager，它被注入运转该指令的PowerShell进程中。Cobalt Strike httpsstager被装备为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现，它是一个shellcode负载，被装备为从hxxps://176.126.85[.]207/ca处下载第三个负载。咱们无法确认终究的负载，因为在咱们的剖析期间，链接地点的服务器已不再对其进行保管了。
第二类技能:FIN6还运用Metasploit创立的Windows服务(以随机的16个字符串命名，如IXiCDtPbtGWnrAGQ)来履行经过编码的PowerShell指令。这是因为运用Metasploit时将默许创立16个字符的服务。编码的指令包括一个Metasploit反向HTTP shell代码负载，它存储在字节数组中，就像之一类技能相同。Metasploit反向HTTP负载被装备为，在TCP端口443上运用随机命名的资源，如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”，与C2（IP地址：176.126.85[.]207）进行通讯。这个C2 URL包括的shellcode 将宣布HTTPS恳求以获取额定的下载。
为了在环境中完成特权晋级，FIN6运用了Metasploit结构中包括的命名管道模仿技能，该技能答应体系级特权晋级。
内部侦查与横向运动
FIN6运用一个Windows批处理文件进行内部侦查，此批处理文件能运用Adfind查询Active Directory，然后运用7-zip紧缩成果并进行提取:
adfind.exe -f（objectcategory = person）> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f（objectcategory = organizationalUnit）> ad_ous.txt
adfind.exe -subnets -f（objectCategory = subnet）> ad_subnets.txt
adfind.exe -f“（objectcategory = group）”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、安排单元、子网、组和信赖联系。经过这些输出，FIN6能够辨认有权限拜访域中其他主机的用户帐户。关于横向移动，FIN6运用了另一组凭证，这些凭证的成员归于域中的其他组、RDP或其他主机。
坚持存在
因为客户已预先装置了FireEye Endpoint Security，它能堵截进犯者对体系的拜访，而进犯者的侵略痕迹依然坚持完好，能够进行长途剖析。因而FIN6无法坚持存在，从而进一步完成他们的进犯方针。
FireEye观察到，FIN6侵略后布置了勒索软件Ryuk或LockerGoga。
横向移动
FIN6运用编码的PowerShell指令在受损体系上装置Cobalt Strike。经过Cobalt Strike的横向移动指令“psexec”，能在方针体系上创立一个随机的16个字符串的Windows服务，并履行编码的PowerShell，在某些情况下，此PowerShell指令用于下载和履行站点hxxps://pastebin[.]com上保管的内容。
完成使命
FIN6还会将运用RDP在环境中横向移动的服务器装备为歹意软件“分发”服务器。分发服务器用于分阶段布置LockerGoga勒索软件、附加实用程序和布置脚本，以主动装置勒索软件。 Mandiant确认了一个名为kill.bat、在环境中的体系上运转的实用程序脚本。此脚本包括一系列反取证指令，旨在禁用防病毒软件并损坏操作体系的稳定性。FIN6运用批处理脚本文件主动布置kill.bat和LockerGoga勒索软件。FIN6在歹意软件分发服务器上创立了许多BAT文件，命名为xaa.bat，xab.bat，xac.bat等。这些BAT文件包括psexec指令，用于衔接到长途体系并布置kill.bat和LockerGoga。FIN6将psexec服务称号重命名为“mstdc”，以便伪装成合法的Windows可履行文件“msdtc”。布置BAT文件中的示例字符串如图2所示。为了保证较高的成功率，进犯者运用了受损的域管理员凭证，而域管理员能够彻底操控Active Directory环境中的Windows体系。

[1] [2]  黑客接单网