新闻快讯
< >

黑客组织FIN7使用新技术来规避安全检测

ICEBRG的安全研究团队(SRT)长期致力于跟踪与黑客组织FIN7相关的威胁活动,FIN7一直在不断调整他们的网络钓鱼文件以避免检测。

FIN7(也被称为Anunak或Carbanak)自2017年初起开始活跃,习惯于使用对象链接与嵌入(OLE)技术,通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式,即没有文件写入磁盘。

不过,SRT在最近发现FIN7已经切换到使用CMD文件而不是LNK文件,这样做很可能是为了逃避检测。

研究人员解释说,当CMD文件被执行时,将Jscript代码写入当前用户主目录下的“tt.txt”。然后,批处理脚本会在本文档下使用JScript引擎运行WScript,在之前会将其自身复制到“pp.txt”,也在当前用户的主目录下。这个JScript代码将从文件“pp.txt”中读取,对文件中的每一行的第一个字符之后进行评估,但会跳过前四行(CMD代码本身)。

虽然实现方式不同,但这也是一种早已被熟知的技术,因为FIN7通过使用JScript的“eval”函数经常运行注释掉的代码,作为字符串读取。

无论是CMD文件还是LNK文件,其其最终目的都是引导JScript代码被执行。FIN7使用CMD文件的转变可能表明他们希望保持领先于检测者。

SRT还观察到,黑客为其独特的后门HALFBAKED使用了新的混淆策略,以提高其攻击力度和逃避检测的能力。

研究人员解释说,在之前,HALFBAKED代码库的不同阶段使用base64编码,存储在一个名为“srcTxt”的字符串数组变量中。而现在,这个变量的名称被模糊化,base64字符串被分解成数组中的多个字符串。

黑客组织FIN7使用新技术来规避安全检测-E安全

此外,现在的HALFBAKED后门包含了一个内置的命令“getNK2”。该命令旨在检索受害者的Microsoft Outlook电子邮件客户端自动完成列表。这可能表明FIN7希望通过受害者获取到更多的网络钓鱼目标。

黑客组织FIN7使用新技术来规避安全检测-E安全

该命令可能以Outlook的NK2文件命名,其中包含Microsoft Outlook 2007和2010的自动完成地址列表。因为较新版本的outlook已经不再使用NK2文件,所以FIN7还编写了功能来处理较新版本的Outlook在同一个“getNK2”命令中。该命令将在受害者系统上执行一个额外的JScript函数。

黑客组织FIN7使用新技术来规避安全检测-E安全

FIN7已经用实际行动证明,他们具有很高强度的适应能力,能够应对各种检测机制。因此,ICEBRG提醒各位安全管理人员必须权衡自己系统的签名性能,同时应扩大检测范围,即使这样做可能会带来很多误报。