近来,FireEye在对一个工程职业的客户做检测时发现了FIN6侵略的痕迹,FIN6是FIN旗下的APT进犯安排之一,于2019年初次被发现,其时该安排运用Grabnew后门和FrameworkPOS歹意软件,来盗取超越1万张信用卡的详细资料。而此次侵略,好像与FIN6的前史定位不符,因为该客户并没有付出卡相关的事务,所以咱们一开始也很难猜想进犯者的侵略目的。但好在FireEye团队的剖析师拥丰厚的实践经验,在Managed Defense和Mandiant安全团队的帮忙下,从数百项查询中收拾出了一些头绪。能够确认的一点是,FIN6现已扩展了他们的违法方针,经过安插勒索软件来进一步损害实体企业获利。
这篇文章旨在介绍FIN6最新的战术、技能和进程(TTPs),包括FIN6对LockerGoga和Ryuk勒索软件的运用情况。在本例中,咱们挽救了该客户或许高达数百万美米的丢失。
检测和呼应
FireEye Endpoint Security技能检测显现,FIN6对该客户的侵略尚处于初始阶段,经过偷盗凭证,以及对Cobalt Strike、Metasploit、Adfind和7-Zip等揭露东西的运用来进行内部侦查、紧缩数据并帮忙其全体使命。而且剖析人员发现了可疑的 *** B衔接和Windows注册表构件,这些构件标明进犯者经过装置歹意Windows服务在长途体系上履行PowerShell指令。Windows Event Log则显现了担任服务装置的用户帐户详细信息,还带有一些其他的要挟方针,借此咱们能确认此次举动的影响规模,以及对FIN6是否侵略了其他体系做辨认。之后咱们运用Windows Registry Shellbag条目重建了FIN6在受损体系上横向移动时的操作。
进犯链
树立立足点和特权晋级
为了在开始时取得对环境的拜访权限,FIN6会损坏面向互联网的体系,在此之后FIN6运用盗取的凭证,经过Windows的长途桌面协议(RDP)在环境中横向移动。
在RDP衔接到体系之后,FIN6运用了两种不同的技能来树立立足点:
之一类技能:FIN6运用PowerShell履行编码的指令。该指令由一个字节数组组成,其间包括一个base64编码的负载,如图1所示。
图1:Base64编码指令
此负载是Cobalt Strike httpsstager,它被注入运转该指令的PowerShell进程中。Cobalt Strike httpsstager被装备为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现,它是一个shellcode负载,被装备为从hxxps://176.126.85[.]207/ca处下载第三个负载。咱们无法确认终究的负载,因为在咱们的剖析期间,链接地点的服务器已不再对其进行保管了。
第二类技能:FIN6还运用Metasploit创立的Windows服务(以随机的16个字符串命名,如IXiCDtPbtGWnrAGQ)来履行经过编码的PowerShell指令。这是因为运用Metasploit时将默许创立16个字符的服务。编码的指令包括一个Metasploit反向HTTP shell代码负载,它存储在字节数组中,就像之一类技能相同。Metasploit反向HTTP负载被装备为,在TCP端口443上运用随机命名的资源,如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”,与C2(IP地址:176.126.85[.]207)进行通讯。这个C2 URL包括的shellcode 将宣布HTTPS恳求以获取额定的下载。
为了在环境中完成特权晋级,FIN6运用了Metasploit结构中包括的命名管道模仿技能,该技能答应体系级特权晋级。
内部侦查与横向运动
FIN6运用一个Windows批处理文件进行内部侦查,此批处理文件能运用Adfind查询Active Directory,然后运用7-zip紧缩成果并进行提取:
adfind.exe -f(objectcategory = person)> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f(objectcategory = organizationalUnit)> ad_ous.txt
adfind.exe -subnets -f(objectCategory = subnet)> ad_subnets.txt
adfind.exe -f“(objectcategory = group)”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *
批处理文件的输出包括Active Directory用户、计算机、安排单米、子网、组和信赖联系。经过这些输出,FIN6能够辨认有权限拜访域中其他主机的用户帐户。关于横向移动,FIN6运用了另一组凭证,这些凭证的成员归于域中的其他组、RDP或其他主机。
坚持存在
因为客户已预先装置了FireEye Endpoint Security,它能堵截进犯者对体系的拜访,而进犯者的侵略痕迹依然坚持完好,能够进行长途剖析。因而FIN6无法坚持存在,从而进一步完成他们的进犯方针。
FireEye观察到,FIN6侵略后布置了勒索软件Ryuk或LockerGoga。
横向移动
FIN6运用编码的PowerShell指令在受损体系上装置Cobalt Strike。经过Cobalt Strike的横向移动指令“psexec”,能在方针体系上创立一个随机的16个字符串的Windows服务,并履行编码的PowerShell,在某些情况下,此PowerShell指令用于下载和履行站点hxxps://pastebin[.]com上保管的内容。
完成使命
FIN6还会将运用RDP在环境中横向移动的服务器装备为歹意软件“分发”服务器。分发服务器用于分阶段布置LockerGoga勒索软件、附加实用程序和布置脚本,以主动装置勒索软件。 Mandiant确认了一个名为kill.bat、在环境中的体系上运转的实用程序脚本。此脚本包括一系列反取证指令,旨在禁用防病毒软件并损坏操作体系的稳定性。FIN6运用批处理脚本文件主动布置kill.bat和LockerGoga勒索软件。FIN6在歹意软件分发服务器上创立了许多BAT文件,命名为xaa.bat,xab.bat,xac.bat等。这些BAT文件包括psexec指令,用于衔接到长途体系并布置kill.bat和LockerGoga。FIN6将psexec服务称号重命名为“mstdc”,以便伪装成合法的Windows可履行文件“msdtc”。布置BAT文件中的示例字符串如图2所示。为了保证较高的成功率,进犯者运用了受损的域管理员凭证,而域管理员能够彻底操控Active Directory环境中的Windows体系。
[1] [2] 黑客接单网
不能说绝对的能找到,成功率只有50%首先这个手机号不能使黑号,要是正规的有身份信息的号其次,QQ基本没什么用,最多得到一个他的常用IP地址,然后。 找到对方的个人信息只有2种办法1.社会工程学也就是欺...
热水器突然不出热水了?以前用的还好好的?突然就不出热水了是什么原因呢?不同热水器类型不出热水原因略有差异,今天蜜罐蚁小编给大家介绍下常见电热水器和燃气热水器不出热水原因和解决方法。热水器不出热水怎么回...
上海市娱乐会所,享受休闲娱乐岁月 伴随着当代高质量人员的工作中愈来愈忙碌,高韧性、高工作压力的生活状态逐渐的令我的身体闪烁了绿灯。可是,即便 大家维持健康的饮食习惯性和规律性的健身运动,也不一定...
网警是怎么样抓黑客的? 网警可以利用多种技术手段来追踪和打击黑客,包括网络追踪、网络侦查、数据分析等。此外,他们还与其他部门合作,例如公安机关、安全机构等,共同打击黑客行为。法律主观:网警一般是通过查...
黑客破解聊天记录 聊天记录会被窃取 生存之路2在线教程?怎样在在网上玩?生存之路是一款非常好的单机手游,可是你能在局域网络和在网上玩,可是许多 游戏玩家不清楚怎样在在网上玩,因此 使我们在这儿讨论...
假如您看中了餐饮行业的汉堡项目,想要自主开店可是又不知道需要提前治理哪些手续,那么阅读本文将会对您有极大的辅佐!小编接下来将为您先容与“开汉堡店需要什么手续”、“如何策划汉堡店才气挣钱”这两方面有关的...