从支付卡盗窃到工业勒索，FIN6威胁组织开始转型？

摘要

近日，FireEye在对一个工程行业的客户做检测时发现了FIN6入侵的迹象，FIN6是FIN旗下的APT攻击组织之一，于2016年首次被发现，当时该组织使用Grabnew后门和FrameworkPOS恶意软件，来窃取超过1万张信用卡的详细资料。而此次入侵，似乎与FIN6的历史定位不符，因为该客户并没有支付卡相关的业务，所以我们一开始也很难猜测攻击者的入侵意图。但好在FireEye团队的分析师拥丰富的实践经验，在Managed Defense和Mandiant安全团队的帮助下，从数百项调查中整理出了一些线索。能够确定的一点是，FIN6已经扩大了他们的犯罪目标，通过安插勒索软件来进一步危害实体企业获利。

这篇文章旨在介绍FIN6最新的战术、技术和过程(TTPs)，包括FIN6对LockerGoga和Ryuk勒索软件的使用情况。在本例中，我们挽救了该客户可能高达数百万美元的损失。

检测和响应

FireEye Endpoint Security技术检测显示，FIN6对该客户的入侵尚处于初始阶段，通过盗窃凭证，以及对Cobalt Strike、Metasploit、Adfind和7-Zip等公开 工具 的使用来进行内部侦察、压缩数据并协助其整体任务。并且分析人员发现了可疑的SMB连接和Windows注册表构件，这些构件表明攻击者通过安装恶意Windows服务在远程系统上执行PowerShell命令。Windows Event Log则显示了负责服务安装的用户帐户详细信息，还带有一些其他的威胁指标，借此我们能确定此次行动的影响范围，以及对FIN6是否入侵了其他系统做识别。之后我们使用Windows Registry Shellbag条目重建了FIN6在受损系统上横向移动时的操作。

攻击链

建立立足点和特权升级

为了在开始时获得对环境的访问权限，FIN6会破坏面向互联网的系统，在此之后FIN6利用窃取的凭证，通过Windows的远程桌面协议（RDP）在环境中横向移动。

在RDP连接到系统之后，FIN6使用了两种不同的技术来建立立足点:

第一类技术:FIN6使用PowerShell执行编码的命令。该命令由一个字节数组组成，其中包含一个base64编码的负载，如图1所示。

图1：Base64编码命令

此负载是Cobalt Strike httpsstager，它被注入运行该命令的PowerShell进程中。Cobalt Strike httpsstager被配置为从hxxps://176.126.85[.]207:443/7sJh处下载第二个负载。对其检索后发现，它是一个shellcode负载，被配置为从hxxps://176.126.85[.]207/ca处下载第三个负载。我们无法确定最终的负载，因为在我们的分析期间，链接所在的服务器已不再对其进行托管了。

第二类技术:FIN6还利用Metasploit创建的Windows服务(以随机的16个字符串命名，如IXiCDtPbtGWnrAGQ)来执行经过编码的PowerShell命令。这是由于使用Metasploit时将默认创建16个字符的服务。编码的命令包含一个Metasploit反向HTTP shell代码负载，它存储在字节数组中，就像第一类技术一样。Metasploit反向HTTP负载被配置为，在TCP端口443上使用随机命名的资源，如“/ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTWTtb0xfb7BpIyC1Lia31F5gCN_btvkad7aR2JF5ySRLZmTtY”，与C2（IP地址：176.126.85[.]207）进行通信。这个C2 URL包含的shellcode 将发出HTTPS请求以获取额外的下载。

为了在环境中实现特权升级，FIN6使用了Metasploit框架中包含的命名管道模拟技术，该技术允许系统级特权升级。

内部侦察与横向运动

FIN6使用一个Windows批处理文件进行内部侦察，此批处理文件能利用Adfind查询Active Directory，然后使用7-zip压缩结果并进行提取:

adfind.exe -f（objectcategory = person）> ad_users.txt
adfind.exe -f objectcategory = computer> ad_computers.txt
adfind.exe -f（objectcategory = organizationalUnit）> ad_ous.txt
adfind.exe -subnets -f（objectCategory = subnet）> ad_subnets.txt
adfind.exe -f“（objectcategory = group）”> ad_group.txt
adfind.exe -gcb -sc trustdmp> ad_trustdmp.txt
7.exe a -mx3 ad.7z ad_ *

批处理文件的输出包括Active Directory用户、计算机、组织单元、子网、组和信任关系。通过这些输出，FIN6能够识别有权限访问域中其他主机的用户帐户。对于横向移动，FIN6使用了另一组凭证，这些凭证的成员属于域中的其他组、RDP或其他主机。

保持存在

由于客户已预先安装了FireEye Endpoint Security，它能切断攻击者对系统的访问，而攻击者的入侵痕迹仍然保持完整，可以进行远程分析。因此FIN6无法保持存在，进而进一步实现他们的攻击目标。

FireEye观察到，FIN6入侵后部署了勒索软件Ryuk或LockerGoga。

横向移动

FIN6使用编码的PowerShell命令在受损系统上安装Cobalt Strike。通过Cobalt Strike的横向移动命令“psexec”，能在目标系统上创建一个随机的16个字符串的Windows服务，并执行编码的PowerShell，在某些情况下，此PowerShell命令用于下载和执行站点hxxps://pastebin[.]com上托管的内容。

完成使命

FIN6还会将利用RDP在环境中横向移动的服务器配置为恶意软件“分发”服务器。分发服务器用于分阶段部署LockerGoga勒索软件、附加实用程序和部署脚本，以自动安装勒索软件。 Mandiant确定了一个名为kill.bat、在环境中的系统上运行的实用程序脚本。此脚本包含一系列反取证命令，旨在禁用防病毒软件并破坏操作系统的稳定性。FIN6使用批处理脚本文件自动部署kill.bat和LockerGoga勒索软件。FIN6在恶意软件分发服务器上创建了许多BAT文件，命名为xaa.bat，xab.bat，xac.bat等。这些BAT文件包含psexec命令，用于连接到远程系统并部署kill.bat和LockerGoga。FIN6将psexec服务名称重命名为“mstdc”，以便伪装成合法的Windows可执行文件“msdtc”。部署BAT文件中的示例字符串如图2所示。为了确保较高的成功率，攻击者使用了受损的域管理员凭据，而域管理员可以完全控制Active Directory环境中的Windows系统。

start copy svchost.exe \\10.1.1.1\c$\windows\temp\start psexec.exe \\10.1.1.1 -u domain\domainadmin -p "password" -d -h -r mstdc -s -accepteula -nobanner c:\windows\temp\svchost.exe

勒索软件Ryuk是一种勒索软件，它使用公共密钥加密和对称密钥加密的组合来加密主机上的文件。LockerGoga是一个勒索软件，它使用1024位RSA和128位AES加密来加密文件，并在根目录和共享桌面目录中留下勒索信息。

总结

从以往来看，FIN6主要是盗窃销售点(POS)或电子商务系统的支付卡数据，此次事件却把矛头指向了工程行业。而从Mandiant事件响应调查和FireEye情报研究的综合结果来看，最近发生的多起利用Ryuk和LockerGoga的事件都与FIN6有关。最早一起事件可追溯到2018年7月，据报道，受害者为此损失了数千万美元。新型攻击事件发生的频率越来越多，FIN6已经越来越不像过去那个针对销售点（POS）环境入侵、部署TRINITY恶意软件以及其他明显特点的FIN6。FIN6团体可能已经改变了他们的运营策略，专注于对勒索软件的运用。但是，根据这些勒索软件事件与历史FIN6活动之间的战术差异，也可能是一些FIN6运营人员独立于组织支付卡盗窃的业务进行勒索软件分发的。上述情况无论是哪一种发生，都会影响该组织对信用卡威胁程度的走向。我们在整理犯罪活动时也经常遇到这种归因挑战。鉴于这些入侵持续了将近一年的时间，我们估计，只有更进一步深入了解攻击团伙的入侵企图后，才能够更全面地回答有关FIN6当前状态的这些问题。

IoC

检测技术

下表包含几个特定的检测名称，包括用于初始感染活动的几个工具和技术的方法学检测，以及FIN6使用的勒索软件的其他检测名称。