Esta es una nueva columna creada por el autor. Principalmente traduce artículos de informes APT de proveedores de seguridad extranjeros reconocidos, comprende sus tecnologías de seguridad y aprende sus métodos para rastrear la organización APT. Espero que le ayude. El artículo anterior compartió la URL del correo electrónico de phishing que ocultaba la URL para evitar la detección. Este artículo presentará el malware Tirion de la organización APT Fin7 / Carbanak, incluida la operación OpBlueRaven.
- Título original: OpBlueRaven: Presentación de Fin7 / Carbanak-Part I: Tirion
- Enlace original: https://threatintel.blog/OPBlueRaven-Part1/
- Hora del autor: YUSUF ARSLAN POLAT 2020-07-31
- Fuente del artículo: Threatintel.blog, PRODAFT SARL, INVICTUS
Directorio de artículos
1. Introducción a Fin7
El objetivo de la organización FIN7 son las instituciones financieras (especialmente la empresa financiera estadounidense), que utilizan correos electrónicos de phishing como principal canal de ataque. Los métodos de ataque comunes incluyen:
- Utilice sofisticados buzones de correo de phishing para convencer al objetivo de que descargue archivos adjuntos y luego use los archivos adjuntos para infectar la red de su empresa con malware.
- Bueno en el uso de archivos que no son PE para atacar , pocos archivos PE aterrizaron durante el ataque
- Las principales cargas útiles del ataque se basan en scripts js y scripts de powershell , que evaden la detección y eliminación del software de seguridad hasta cierto punto.
- Entre el malware utilizado en FIN7, el más común es una versión especialmente diseñada del malware Carbanak , que se ha utilizado en múltiples ataques a bancos.
El proceso de ataque normal se muestra en la siguiente figura. El atacante utiliza correos electrónicos de suplantación de identidad como canal de entrada para incrustar scripts vbs en documentos maliciosos. Una vez que se ejecuta el script vbs, el programa de descifrado de puerta trasera se escribe en el registro y el script que llama al programa de puerta trasera se oculta en el disco como anuncios. Expediente. Después de que se ejecute la puerta trasera, use DNS TXT como método de comunicación C&C.
En el documento adjunto al correo electrónico, se utiliza un código macro malicioso. La interfaz de diferentes documentos de phishing es aproximadamente la siguiente. Cabe mencionar que el objetivo del ataque es una empresa de alimentos extranjera cuando se utiliza la imagen de Hamburgo como documento de cebo. Las empresas comprometidas por FIN7 incluyen marcas conocidas como Chipotle, Chilli's y Arby's. Se cree que la organización ha pirateado miles de ubicaciones comerciales y ha robado millones de números de tarjetas de crédito.
A medida que la tecnología se profundizó, la organización implementó nuevas tácticas ( similares a BadUSB ). El sitio web Securityaffair descubrió que FIN7 envió paquetes al personal de recursos humanos, tecnología de la información o administración ejecutiva de la empresa objetivo a través del Servicio Postal de los Estados Unidos (USPS), incluidos dispositivos USB, tarjetas de regalo, etc. Cuando un empleado conecta un dispositivo USB a una computadora, se inyectan comandos para descargar y ejecutar la puerta trasera de JavaScript rastreada por Griffon.
Estos paquetes se envían a muchas empresas, incluidas las tiendas minoristas, el catering y los hoteles. El dispositivo USB armado imita las características de pulsación de tecla del usuario e inicia comandos de PowerShell para recuperar malware de servidores remotos. Los expertos han observado que el nombre de dominio de contacto y la dirección IP del código malicioso se encuentran en Rusia.
El dispositivo USB utiliza el microcontrolador Arduino ATMEGA32U4 y está programado para simular un teclado USB. Dado que la PC confía en el dispositivo USB del teclado de forma predeterminada, una vez conectado, el emulador de teclado insertará automáticamente comandos maliciosos. Luego, el script Powershell ejecuta la tercera etapa de JavaScript para recopilar información del sistema y eliminar otro malware. Según la advertencia del FBI, una vez que se recopiló la información del objetivo, la organización FIN7 comenzó a moverse lateralmente para obtener autoridad administrativa. Después de que la información recopilada se envíe al servidor de C&C. El código JS principal entrará en un bucle infinito, dormirá durante 2 minutos en cada iteración del bucle y luego obtendrá un nuevo comando del comando y control.
En resumen, una vez que el chip controlador USB se reprograma para otros fines (como emular un teclado USB), estos dispositivos pueden usarse para lanzar ataques e infectar sus computadoras sin el conocimiento del usuario. Junto con el hecho de que estos dispositivos son muy baratos y pueden ser utilizados por cualquier persona en cualquier momento, esto también significa que es solo cuestión de tiempo antes de que los atacantes puedan utilizar estas tecnologías y dispositivos con mayor profundidad.
Materiales de referencia:
- https://www.freebuf.com/articles/network/137612.html
- https://www.freebuf.com/news/231861.html
- https://www.freebuf.com/news/153032.html
- https://securityaffairs.co/wordpress/100661/cyber-crime/fin7-usb-teddy-bears-attacks.html
- https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html
2. Acerca de Fin7 y Carbanak
Este artículo tiene como objetivo proporcionar a los lectores información detallada sobre las últimas operaciones del equipo de inteligencia de amenazas (PTI) de PRODAFT (Suiza) e INVICTUS (Europa) contra diferentes actores de amenazas, y descubrió que está relacionado con la notoria organización Fin7 APT. En el artículo, toda la información proviene de una falla OPSEC del participante de la amenaza, intentaremos expandir gradualmente el tema y expandir el alcance sobre la base del descubrimiento continuo.
Entre mayo y julio de 2020, cuatro miembros del equipo de inteligencia de amenazas de PRODAFT llevaron a cabo la Operación BlueRaven. El estudio de caso se originó a partir del descubrimiento de un conjunto de fallas menores de OpSec que parecían poco importantes. Por supuesto, más tarde se descubrió que estas amenazas estaban relacionadas con las infames amenazas Fin7 / Carbanak.
El OP de PTI (OP de PTI) se origina en la falla OPSEC del atacante. A diferencia de los datos previamente descubiertos y publicados, lo que hace que este OP sea tan único es que logramos encontrar una gran cantidad de información no publicada sobre el conjunto de herramientas del atacante que reveló el TTP del atacante.
Carbanak Group / Fin7 se descubrió por primera vez en 2014. Es uno de los grupos APT más famosos del mundo y uno de los primeros grupos APT expuestos. Se cree que la organización ha causado más de $ 900 millones en daños en todo el mundo. Nuestros resultados de OP encontraron la siguiente información clave sobre estos actores de amenazas:
- Obtén la verdadera identidad de ciertos atacantes en Fin7
- Se ha descubierto evidencia detallada sobre las herramientas y los métodos de ataque de Fin7.
- Se ha descubierto la relación entre Fin7 y el grupo de ransomware REvil (que se describirá en detalle en una etapa posterior)
Este informe fue escrito para crear conciencia y ayudar a los expertos en ciberseguridad en su análisis. Por supuesto, se han eliminado algunos de los hallazgos de PRODAFT. Por lo tanto, la agencia autorizada puede comunicarse con PRODAFT o INVICTUS para obtener más información.
Cada artículo discutirá aspectos específicos de las operaciones, no solo los métodos de ataque, las organizaciones y la identidad del atacante. Nuestro equipo también logró escuchar a escondidas varias conversaciones entre los atacantes, y la mayoría de estas conversaciones también se publicarán a lo largo de la serie.
3. Puerta trasera Carbanak
Carbanak Backdoor fue uno de los primeros descubrimientos que hizo nuestro equipo. La versión actual de la puerta trasera Carbanak (la herramienta más conocida en el equipo, el nombre del grupo Carbanak) es la primera herramienta que llamó la atención de nuestro equipo.La versión "3.7.5" compilada en noviembre de 2019 según el título del archivo PE es la última versión detectada por el servidor de control y comando de puerta trasera. La siguiente captura de pantalla proporciona una captura de pantalla de la versión "3.7.5" del panel de administración de puerta trasera de Carbanak.
Comparamos la última versión que obtuvimos con la versión "Command Manager" en Virustotal en 2017 y evaluamos esta herramienta. La siguiente figura refleja la diferencia entre el código fuente obtenido por descompilación de las dos versiones anteriores. La figura solo enumera el código fuente entre las dos versiones, la columna de la izquierda pertenece a los archivos cargados a Virustotal en 2017, y la columna de la derecha pertenece a la versión "3.7.5" obtenida por nuestro equipo. La línea azul representa un archivo diferente y la línea verde representa un archivo nuevo.
A través de la inspección del software del servidor de comando y control, se puede ver que la interfaz GUI ha realizado cambios básicos en el complemento para crear un registro de errores más detallado y se ha agregado un nuevo código de idioma.
Se han identificado seis versiones de la herramienta de malware "Command Manager" compiladas en 2019. La siguiente figura muestra la marca de tiempo de la versión detectada.
En la versión anterior de Bot.dll, era un componente del malware que se ejecutaba en el dispositivo de la víctima.Se detectaron 981 funciones en el desmontaje y 706 funciones se detectaron en la nueva versión del mismo software. Con la herramienta de comparación binaria Diaphora, 607 funciones obtienen la mejor puntuación de coincidencia, mientras que 43 funciones obtienen una coincidencia parcial. Además, en comparación con la versión anterior de Virustotal, el tamaño del archivo del nuevo bot es inferior a 50 kb. Al comprobar el nuevo archivo bot, puede ver que las funciones distintas de las funciones básicas en la versión anterior se implementan como complementos.Estos nuevos complementos pueden realizar operaciones como el registro de pulsaciones de teclas, la supervisión de procesos y se pueden ejecutar sin archivos mediante el método de carga reflectante. Como resultado, el tamaño del archivo de malware se reduce, dejando menos rastros para las soluciones de software de seguridad basadas en firmas forenses.
- hd.plug
- hd64.plug
- hvnc.plug
- hvnc64.plug
- registro de teclas
- keylog64
- procmon
- procmon64.dll
- rdpwrap.dll
- switcher.dll
- switcher64.dll
- vnc.plug
- vnc64.plug
En esta sección, comprobaremos algunos complementos que "no están" en los archivos descubiertos anteriormente. Dado que estas son funciones sin precedentes en el conjunto de herramientas, creemos que las siguientes son esenciales para un análisis más detallado del TTP de la organización.
1. Complemento Keylogger
El complemento "keylog.dll" utiliza la API RegisterRawInputDevices para capturar las pulsaciones de teclas del usuario. Para determinar en qué contexto se utilizó la pulsación de tecla, la "Ruta del archivo ejecutable", el "Texto de Windows" y la información de la marca de tiempo del proceso de primer plano se registrarán junto con la pulsación de tecla.
El complemento keylogger utiliza Windows GDI + API para convertir los datos recopilados en mapa de bits y los escribe en el directorio% TEMP% del usuario, en una carpeta denominada "SA45E91.tmp". La siguiente figura muestra las funciones que utiliza el malware para almacenar datos.
La siguiente figura muestra una captura de pantalla del ejemplo de registro obtenido.
2. Complemento de monitor de procesos
El complemento puede rastrear los procesos que se ejecutan en el sistema de destino y se utiliza para obtener información sobre las horas de inicio y finalización de los procesos requeridos. La siguiente figura muestra una captura de pantalla de la función que recopila información sobre el proceso en ejecución.
4. Tirion Loader (el futuro de la puerta trasera de Carbanak)
La nueva herramienta de carga de la organización Fin7 es un malware llamado Tirion, que se cree que se desarrolló como un reemplazo de la puerta trasera Carbanak. Contiene muchas funciones para la recopilación de información, ejecución de código, reconocimiento y movimiento lateral. Al igual que la última versión de la puerta trasera Carbanak verificada en la sección anterior, muchas funciones realizadas por este malware se han desarrollado como complementos independientes, se han cargado en el sistema de destino mediante un método de carga reflectante y se han ejecutado sin archivos. Los datos públicos muestran que el desarrollo de la puerta trasera Carbanak se ha detenido, y el mismo equipo está desarrollando y probando Tirion Loader. Los registros de comunicación entre los atacantes indican que esta nueva herramienta está destinada a reemplazar la puerta trasera de Carbanak.
Las características del malware Tirion son las siguientes:
- Recopilación de información (recopilación de información)
- 截 屏 (Tomando captura de pantalla)
- Lista de procesos en ejecución
- Ejecución de comando / código
- Migración de procesos
- Ejecución de Mimikatz (Ejecución de Mimikatz)
- Captura de contraseña
- Active Directory y Network Recon
La última versión de Tirion Loader detectada pertenece a la versión "1.6.4" compilada por "23:24:03 del 28 de junio de 2020". La siguiente figura muestra las acciones que un atacante puede realizar en el dispositivo robot. La versión "1.0" es la primera versión detectada y se considera la primera versión utilizada. Se compiló el "20:29:53, 5 de marzo de 2020".
El archivo "readme.txt" escrito por el atacante indicaba claramente los componentes básicos del malware.
La traducción relevante es la siguiente, el sistema contiene 3 componentes:
- Servidor
- Cliente
- Cargador
La correlación de estos componentes es la siguiente: el cargador se conecta al servidor periódicamente y el cliente se conecta al servidor a través de una conexión permanente. El cargador ejecuta comandos desde el servidor y envía respuestas al servidor. A través del cliente, el usuario envía un comando al cargador a través del servidor; luego de recibir la respuesta del cargador, el servidor la transmite a cl.
1. Estructura de archivos
La organización de archivos del malware es la siguiente:
2.Readme.txt
Las instrucciones de traducción al inglés de algunos elementos importantes del archivo "readme.txt" son las siguientes: El archivo indica los cambios desde la primera versión del malware a la versión "1.6.3" y contiene instrucciones de compilación. (Omita el ruso original)
3.Componente del cargador
Este componente del malware se ejecutará en el sistema de la víctima, de aproximadamente 9 kb de tamaño, y ejecutará comandos desde el servidor. Cuando un atacante quiere ejecutar una función en el dispositivo de la víctima, el archivo de complemento relevante que contiene la función se reflejará en el dispositivo de la víctima y se ejecutará sin archivos.
El tráfico de red entre el servidor y el cargador se cifra utilizando la clave determinada durante la fase de construcción. La siguiente figura contiene algoritmos de cifrado relacionados.
4.PswInfoGrabber
Es un archivo DLL responsable de robar y reportar información confidencial del sistema de destino, especialmente las contraseñas del navegador y del correo. Asegúrese de que el atacante también haya utilizado esta herramienta independientemente de Tirion Loader. En la siguiente imagen, se incluye una captura de pantalla de los registros recopilados por el malware.
Cinco. OpBlueRaven | Fin de la primera parte
En la primera edición de esta serie, esperamos presentar nuestro informe de análisis comparando el último conjunto de herramientas de Carbanak descubierto por PTI con una versión anterior que es de acceso público.
En el próximo artículo, también estudiaremos el TTP del atacante con más profundidad al proporcionar una referencia para las conversaciones reales entre atacantes. Además, proporcionaremos capturas de pantalla tomadas directamente de las computadoras de los actores de la amenaza.
Finalmente, espero que este artículo sea de ayuda para ti. Feliz Festival del Medio Otoño y Día Nacional. ¡Que alguien se cuide!
Compartir anterior:
- [Traducción] Informe de análisis de APT: 01. Descripción general de los ataques de APT dirigidos en Linux
- [Traducción] Informe de análisis de APT: 02. URL de correo electrónico de suplantación de identidad URL confusas para evitar la detección
El recientemente inaugurado "Nazhang AI Security Home" el 18 de agosto de 2020 se centra principalmente en el análisis de big data de Python, la seguridad del ciberespacio, el análisis inverso, los informes de análisis APT, la inteligencia artificial, la penetración web y la tecnología ofensiva y defensiva. Al mismo tiempo, compartirá CCF, Implementación de algoritmos de papeles nucleares SCI, Sur y Norte. La Casa de Nazhang será más sistemática, reconstruirá todos los artículos del autor, explicará Python y la seguridad desde cero, y ha escrito artículos durante casi diez años. Realmente quiero compartir lo que he aprendido y sentido. También me gustaría invitarlo a darme su consejo e invitarle sinceramente ¡Su atención! Gracias.
(Por: Eastmount 2020-10-04 Escrito a las 12 en punto de la tarde del domingo en Wuhan http://blog.csdn.net/eastmount/ )
Apéndice: firma de YARA
import "pe"
rule apt_Fin7_Tirion_plugins
{
meta:
author = "Yusuf A. POLAT"
description = "Tirion Loader's plugins. It is used by Fin7 group. Need manual verification"
version = "1.0"
date = "2020-07-22"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "fdc0ec0cc895f5b0440d942c0ab60eedeb6e6dca64a93cecb6f1685c0a7b99ae"
strings:
$a1 = "ReflectiveLoader" ascii
$a2 = "plg.dll" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000 and (pe.exports("?ReflectiveLoader@@YA_KPEAX@Z") or
pe.exports("?ReflectiveLoader@@YGKPAX@Z"))
}
rule apt_Fin7_Tirion_PswInfoGrabber
{
meta:
author = "Yusuf A. POLAT"
description = "Tirion Loader's PswInfoGrabber plugin. It is used by Fin7 group."
version = "1.0"
date = "2020-07-22"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "e7d89d1f23c2c31e2cd188042436ce6d83dac571a5f30e76cbbcdfaf51e30ad9"
strings:
$a1 = "IE/Edge Grabber Begin" fullword ascii
$a2 = "Mail Grabber Begin" fullword ascii
$a3 = "PswInfoGrabber" ascii
$a4 = "Chrome Login Profile: '"
$a5 = "[LOGIN]:[HOST]:"
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 150KB
}
rule apt_Fin7_Tirion_loader
{
meta:
author = "Yusuf A. POLAT"
description = "Tirion Loader's loader component. It is used by Fin7 group."
version = "1.0"
date = "2020-07-22"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "e7d89d1f23c2c31e2cd188042436ce6d83dac571a5f30e76cbbcdfaf51e30ad9"
strings:
$a1 = "HOST_PORTS" fullword ascii
$a2 = "KEY_PASSWORD" fullword ascii
$a3 = "HOSTS_CONNECT" ascii
$a4 = "SystemFunction036"
$a5 = "ReflectiveLoader"
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15KB
}
rule apt_Fin7_Carbanak_keylogplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's keylogger plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "db486e0cb94cf2bbe38173b7ce0eb02731ad9a435a04899a03d57b06cecddc4d"
strings:
$a1 = "SA45E91.tmp" fullword ascii
$a2 = "%02d.%02d.%04d %02d:%02d" fullword ascii
$a3 = "Event time:" fullword ascii
$a4 = "MY_CLASS" fullword ascii
$a5 = "RegisterRawInputDevices" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000
}
rule apt_Fin7_Carbanak_procmonplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's process monitoring plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "3bf8610241a808e85e6ebaac2bb92ba4ae92c3ec1a6e56e21937efec71ea5425"
strings:
$a1 = "[%02d.%02d.%04d %02d:%02d:%02d]" fullword ascii
$a2 = "%s open %s" fullword ascii
$a3 = "added monitoring %s" fullword ascii
$a4 = "pm.dll" fullword ascii
$a5 = "CreateToolhelp32Snapshot" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 10000
}
rule apt_Fin7_Carbanak_hdplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's hidden desktop plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "39b545c7cd26258a9e45923053a5a64c9461470c3d7bfce3be1c776b287e8a95"
strings:
$a1 = "hd%s%s" fullword ascii
$a2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" fullword ascii
$a3 = "StartHDServer" fullword ascii
$a4 = "SetThreadDesktop" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000
}
rule apt_Fin7_Carbanak_hvncplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's hvnc plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "40ce820df679b59476f5d277350dca43e3b3f8cac7ec47ad638371aaa646c315"
strings:
$a1 = "VncStartServer" fullword ascii
$a2 = "VncStopServer" fullword ascii
$a3 = "RFB 003.008" fullword ascii
$a4 = "-nomerge -noframemerging" fullword ascii
$a5 = "--no-sandbox --allow-no-sandbox-job --disable-3d-apis --disable-gpu --disable-d3d11" fullword wide
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 300000
}
rule apt_Fin7_Carbanak_vncplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's vnc plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "ecf3679f659c5a1393b4a8b7d7cca615c33c21ab525952f8417c2a828697116a"
strings:
$a1 = "VncStartServer" fullword ascii
$a2 = "VncStopServer" fullword ascii
$a3 = "ReflectiveLoader" fullword ascii
$a4 = "IDR_VNC_DLL" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 400000
}
rule apt_Fin7_Carbanak_rdpplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's rdp plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "0d3f1696aae8472145400d6858b1c44ba7532362be5850dae2edbd4a40f36aa5"
strings:
$a1 = "sdbinst.exe" fullword ascii
$a2 = "-q -n \"UAC\"" fullword ascii
$a3 = "-q -u \"%s\"" fullword ascii
$a4 = "test.txt" fullword ascii
$a5 = "install" fullword ascii
$a6 = "uninstall" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 400000
}
rule apt_Fin7_Carbanak_switcherplugin
{
meta:
author = "Yusuf A. POLAT"
description = "Carbanak backdoor's switcher plugin. It is used by Fin7 group"
version = "1.0"
date = "2020-07-21"
reference = "https://threatintelligence.blog/"
copyright = "PRODAFT"
SHA256 = "d470da028679ca8038b062f9f629d89a994c79d1afc4862104611bb36326d0c8"
strings:
$a1 = "iiGI1E05.tmp" fullword ascii
$a2 = "oCh4246.tmp" fullword ascii
$a3 = "inf_start" fullword ascii
$a4 = "Shell_TrayWnd" fullword ascii
$a5 = "ReadDirectoryChangesW" fullword ascii
$a6 = "CreateToolhelp32Snapshot" fullword ascii
condition:
uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000
}