从付出卡偷盗到工业勒索,FIN6要挟安排开端转型?

访客5年前黑客文章1369

近来,FireEye在对一个工程职业的客户做检测时发现了FIN6侵略的痕迹,FIN6是FIN旗下的APT进犯安排之一,于2019年初次被发现,其时该安排运用Grabnew后门和FrameworkPOS歹意软件,来盗取超越1万张信用卡的详细资料。而此次侵略,好像与FIN6的前史定位不符,因为该客户并没有付出卡相关的事务,所以咱们一开始也很难猜想进犯者的侵略目的。但好在FireEye团队的剖析师拥丰厚的实践经验,在Managed Defense和Mandiant安全团队的帮忙下,从数百项查询中收拾出了一些头绪。能够确认的一点是,FIN6现已扩展了他们的违法方针,经过安插勒索软件来进一步损害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技能和进程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的运用情况。在本例中,咱们挽救了该客户或许高达数百万美元的丢失。
检测和呼应
FireEye Endpoint Security技能检测显现,FIN6对该客户的侵略尚处于初始阶段,经过偷盗凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等揭露东西的运用来进行内部侦查、紧缩数据并帮忙其全体使命。而且剖析人员发现了可疑的 *** B衔接和Windows注册表构件,这些构件标明进犯者经过装置歹意Windows服务在长途体系上履行PowerShell指令。Windows Event Log则显现了担任服务装置的用户帐户详细信息,还带有一些其他的要挟方针,借此咱们能确认此次举动的影响规模,以及对FIN6是否侵略了其他体系做辨认。之后咱们运用Windows Registry Shellbag条目重建了FIN6在受损体系上横向移动时的操作。
进犯链
树立立足点和特权晋级
为了在开始时取得对环境的拜访权限,FIN6会损坏面向互联网的体系,在此之后FIN6运用盗取的凭证,经过Windows的长途桌面协议(RDP)在环境中横向移动。
在RDP衔接到体系之后,FIN6运用了两种不同的技能来树立立足点:
之一类技能:FIN6运用PowerShell履行编码的指令。该指令由一个字节数组组成,其间包括一个base64编码的负载,如图1所示。

图1:Base64编码指令
此负载是Cobalt Strike httpsstager,它被注入运转该指令的PowerShell进程中。Cobalt Strike httpsstager被装备为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被装备为从hxxps://176.126.85[.]207/ca处下载第三个负载。咱们无法确认终究的负载,因为在咱们的剖析期间,链接地点的服务器已不再对其进行保管了。
第二类技能:FIN6还运用Metasploit创立的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来履行经过编码的PowerShell指令。这是因为运用Metasploit时将默许创立16个字符的服务。编码的指令包括一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像之一类技能相同。Metasploit反向HTTP负载被装备为,在TCP端口443上运用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通讯。这个C2 URL包括的shellcode 将宣布HTTPS恳求以获取额定的下载。
为了在环境中完成特权晋级,FIN6运用了Metasploit结构中包括的命名管道模仿技能,该技能答应体系级特权晋级。
内部侦查与横向运动
FIN6运用一个Windows批处理文件进行内部侦查,此批处理文件能运用Adfind查询Active Directory,然后运用7-zip紧缩成果并进行提取:
adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、安排单元、子网、组和信赖联系。经过这些输出,FIN6能够辨认有权限拜访域中其他主机的用户帐户。关于横向移动,FIN6运用了另一组凭证,这些凭证的成员归于域中的其他组、RDP或其他主机。
坚持存在
因为客户已预先装置了FireEye Endpoint Security,它能堵截进犯者对体系的拜访,而进犯者的侵略痕迹依然坚持完好,能够进行长途剖析。因而FIN6无法坚持存在,从而进一步完成他们的进犯方针。
FireEye观察到,FIN6侵略后布置了勒索软件Ryuk或LockerGoga。
横向移动
FIN6运用编码的PowerShell指令在受损体系上装置Cobalt Strike。经过Cobalt Strike的横向移动指令“psexec”,能在方针体系上创立一个随机的16个字符串的Windows服务,并履行编码的PowerShell,在某些情况下,此PowerShell指令用于下载和履行站点hxxps://pastebin[.]com上保管的内容。
完成使命
FIN6还会将运用RDP在环境中横向移动的服务器装备为歹意软件“分发”服务器。分发服务器用于分阶段布置LockerGoga勒索软件、附加实用程序和布置脚本,以主动装置勒索软件。 Mandiant确认了一个名为kill.bat、在环境中的体系上运转的实用程序脚本。此脚本包括一系列反取证指令,旨在禁用防病毒软件并损坏操作体系的稳定性。FIN6运用批处理脚本文件主动布置kill.bat和LockerGoga勒索软件。FIN6在歹意软件分发服务器上创立了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包括psexec指令,用于衔接到长途体系并布置kill.bat和LockerGoga。FIN6将psexec服务称号重命名为“mstdc”,以便伪装成合法的Windows可履行文件“msdtc”。布置BAT文件中的示例字符串如图2所示。为了保证较高的成功率,进犯者运用了受损的域管理员凭证,而域管理员能够彻底操控Active Directory环境中的Windows体系。

[1] [2]  黑客接单网

相关文章

玩转Ysoserial-CommonsCollection的七种利用方式分析-黑客接单平台

CommonsCollection在java反序列化的源流中现已存在了4年多了,关于其间的剖析也是层出不穷,本文旨在整合剖析一下ysoserial中CommonsCollection反序列化缝隙的多种...

黑客QQ接单,微信被盗了 找黑客帮忙有用吗,找黑客黑彩票网站

注册里能够直接上传asa文件!Cobalt Strike 3.0 延用了其强壮的集体服务器功用,能让多个进犯者一起衔接到集体服务器上,同享进犯资源与方针信息和sessions。 当然,在运用Cobal...

24小时接单的黑客_点找网络黑客高手合作

尽管DDoS进犯现已有必定的前史了,但现在许多公司依然无法彻底抵挡这类进犯。 现在,越来越多的网络进犯者开端运用新式网络协议来进行DDoS进犯了,比如说CoAP协议等等,而这些新式协议的呈现和运用将会...

微信位置定位,找一个 黑客,2019哪里找黑客

db="data/rds_dbd32rfd213fg.mdb" 2.侦听后能够写入日志,过后用来FTP挂马用,或直接登陆服务器,侵略邮箱等  这儿有两个上传点,一个是ewebeditor的,别的一个是...

Python爬虫开发(二):整站爬虫与Web发掘

在互联网这个杂乱的环境中,搜索引擎自身的爬虫,出于个人意图的爬虫,商业爬虫恣意横行,恣意掠取网上的或许公共或许私家的资源。明显数据的收集并不是随心所欲,有一些协议或许准则仍是需求每一个人留意。本文首要...

专业接单黑客找回qq账号_找黑客偷查老公微信聊天记录

这儿,咱们引证回形针PaperClip的视频来介绍一下关于“智能机器人”运转办法的解说。 Powershell作为内网浸透的利器, 在Windows环境下被广泛运用。 运用Poweshell能够下降软...