安全厂商发布APT攻击混淆技术研究报告

专题库
CFCA信息安全实验室 来源:中国电子银行网 2017-07-06 16:02:27 安全APT 信息安全

核心提示在整个2017年,我们观察到一系列有针对性的攻击者使用命令行逃避和混淆的情况显着增加。网络间谍团体和金融威胁演员继续采用最新的前沿应用白名单旁路技术,并将其引入到网络钓鱼诱骗中的创新混淆。

  安全厂商FireEye表示在2017年观察到一些列有针对性的攻击者,使用命令行逃避和混淆技术的情况显著增加。如FIN8使用环境变量与powershell匹配并从标准输入接收命令,以避免基于进程命令行参数的检测;APT32使用regsvr32.exe旁路远程执行后门和脚本等。

安全厂商发布APT攻击混淆技术研究报告

  在整个2017年,我们观察到一系列有针对性的攻击者使用命令行逃避和混淆的情况显着增加。网络间谍团体和金融威胁演员继续采用最新的前沿应用白名单旁路技术,并将其引入到网络钓鱼诱骗中的创新混淆。这些技术通常会绕过静态和动态分析方法,并强调为什么基于签名的检测将始终是创造性攻击者的至少一步。

  2017年初,FIN8开始使用环境变量,配置PowerShell通过StdIn(标准输入)接收命令的能力,以避免基于进程命令行参数的检测。在2017年2月的网络钓鱼文档“COMPLAINT Homer Glynn.doc”(MD5:cc89ddac1afe69069eb18bac58c6a9e4)中,该文件包含一个宏,用于在一个环境变量(_MICROSOFT_UPDATE_CATALOG)中设置PowerShell命令,然后在另一个环境变量(MICROSOFT_UPDATE_SERVICE)中输入字符串“powershell” )。当PowerShell命令以短划线结束时,PowerShell将执行通过StdIn接收到的命令,只有这个破折号将出现在powershell.exe的命令行参数中。图1提供了使用Mandiant顾问Nick Carr的FIN8宏解码器提取的命令。

安全厂商发布APT攻击混淆技术研究报告

  为避免基于父子进程关系的许多检测,FIN8制作了此宏以使用WMI来生成cmd.exe执行。因此,WinWord.exe不会创建一个子进程,但进程树看起来像:wmiprvse.exe> cmd.exe> powershell.exe。FIN8经常使用混淆和WMI来远程启动他们的PUNCHTRACK POS刮擦恶意软件,2017年的活动是在早期的妥协阶段实施这些逃避技术。

  随着新应用程序白名单旁路技术的出现,有针对性的攻击者已经将这些攻击者迅速采用了多种混乱模式,以保持领先于许多防御者。许多团体利用regsvr32.exe应用程序白名单绕行,其中包括APT19在2017年针对律师事务所的运动。网络间谍组APT32严重模糊了他们的后门和脚本,而Mandiant顾问则观察到APT32在2017年4月实施了额外的命令参数混淆。而不是使用参数/ i:http进行regsvr32.exe旁路,APT32使用cmd.exe模糊技术试图破坏这个论点的基于签名的检测。在FireEye,我们看到它们在它们的诱饵中包括/ i:^ h ^ t ^ t ^ p和/ i:h“t”t“p。图2显示了在我们的APT32活动的Mandiant事件响应活动之一中,我们的主机调查平台(HIP)的捕获实时攻击者活动的截图。

安全厂商发布APT攻击混淆技术研究报告

  同时,2017年,FIN7继续对餐厅,酒店和金融服务行业造成严重破坏。为了确保其武器库存不变,2017年4月,FIN7转向使用wscript.exe运行JavaScript有效载荷,以检索额外的有效载荷在网络钓鱼文档中使用Word.Application COM对象。

  本周,FireEye确定了FIN7在JavaScript和cmd.exe级别上引入了额外的混淆技术。这些方法依靠FIN7在其DOCX和RTF钓鱼文档中隐藏快捷方式文件(LNK文件)的首选方法来启动感染。在这个博客的时候,实现这种技术的文件被0个防病毒引擎检测到。对于JavaScript而言,FIN7不是为COM对象实例化指定“Word.Application”,而是将字符串连接到“Wor”+“d.Application”。此外,JavaScript的可疑“eval”字符串已转换为“this [String.fromCharCode(101)+'va'+'l']”。最后,他们使用cmd.exe支持的一些鲜为人知的字符替换功能。wscript.exe命令在进程级环境变量“x”中设置,但使用“@”字符进行模糊处理。当“x”变量在脚本末尾被回显时,“@”字符将被语法“%x:@ =%”删除。图3显示了从嵌入在新的FIN7网络钓鱼文档中的LNK文件中提取的该命令。

安全厂商发布APT攻击混淆技术研究报告

  在这个例子中,FIN7通过StdIn实现FIN8的命令传递-这次将它传递给cmd.exe而不是powershell.exe -但是逃避效果是一样的。虽然此示例将在第一个cmd.exe的命令执行中公开这些参数,但如果此环境变量在LNK或宏中设置,并通过VBA通过StdIn推送到cmd.exe,则在命令行中将不会显示任何内容。

  FireEye iSIGHT Intelligence MySIGHT Portal包含有关这些攻击者的详细信息,以及我们跟踪的所有财务和网络间谍小组,包括对恶意软件的分析,战术和进一步的智能归属。

  我们完全期望有针对性的攻击者继续采用新的旁路技术,并在宏观和命令行级别增加创新的混淆模式。至于我们接下来可能会看到的,我们建议您阅读DOS命令行技巧,以便监控网络不是第一次看到新的攻击者技巧。网络维护者必须了解什么是混淆可能,评估其端点和网络可见性,最重要的是不要依靠单一方法来检测这些攻击。  

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网