黑基网 首页 资讯 安全圈 查看内容

黑客组织FIN7使用新技术来规避安全检测

2017-10-10 19:04| 投稿: lofor |来自: 互联网

摘要: ICEBRG的安全研究团队(SRT)长期致力于跟踪与黑客组织FIN7相关的威胁活动,FIN7一直在不断调整他们的网络钓鱼文件以避免检测。FIN7(也被称为Anunak或Carbanak)自2017年初起开始活跃,习惯于使用对象链接与嵌入(O ...

ICEBRG的安全研究团队(SRT)长期致力于跟踪与黑客组织FIN7相关的威胁活动,FIN7一直在不断调整他们的网络钓鱼文件以避免检测。

FIN7(也被称为Anunak或Carbanak)自2017年初起开始活跃,习惯于使用对象链接与嵌入(OLE)技术,通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式,即没有文件写入磁盘。

不过,SRT在最近发现FIN7已经切换到使用CMD文件而不是LNK文件,这样做很可能是为了逃避检测。

研究人员解释说,当CMD文件被执行时,将Jscript代码写入当前用户主目录下的“tt.txt”。然后,批处理脚本会在本文档下使用JScript引擎运行WScript,在之前会将其自身复制到“pp.txt”,也在当前用户的主目录下。这个JScript代码将从文件“pp.txt”中读取,对文件中的每一行的第一个字符之后进行评估,但会跳过前四行(CMD代码本身)。

虽然实现方式不同,但这也是一种早已被熟知的技术,因为FIN7通过使用JScript的“eval”函数经常运行注释掉的代码,作为字符串读取。

无论是CMD文件还是LNK文件,其其最终目的都是引导JScript代码被执行。FIN7使用CMD文件的转变可能表明他们希望保持领先于检测者。

SRT还观察到,黑客为其独特的后门HALFBAKED使用了新的混淆策略,以提高其攻击力度和逃避检测的能力。

研究人员解释说,在之前,HALFBAKED代码库的不同阶段使用base64编码,存储在一个名为“srcTxt”的字符串数组变量中。而现在,这个变量的名称被模糊化,base64字符串被分解成数组中的多个字符串。

此外,现在的HALFBAKED后门包含了一个内置的命令“getNK2”。该命令旨在检索受害者的Microsoft Outlook电子邮件客户端自动完成列表。这可能表明FIN7希望通过受害者获取到更多的网络钓鱼目标。

该命令可能以Outlook的NK2文件命名,其中包含Microsoft Outlook 2007和2010的自动完成地址列表。因为较新版本的outlook已经不再使用NK2文件,所以FIN7还编写了功能来处理较新版本的Outlook在同一个“getNK2”命令中。该命令将在受害者系统上执行一个额外的JScript函数。

FIN7已经用实际行动证明,他们具有很高强度的适应能力,能够应对各种检测机制。因此,ICEBRG提醒各位安全管理人员必须权衡自己系统的签名性能,同时应扩大检测范围,即使这样做可能会带来很多误报。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部