当前位置:安全行业动态 → 正文

解密FIN7黑客组织:加速创新,不断变换技术

责任编辑:editor004 |来源:企业网D1Net  2017-10-19 12:22:02 本文摘自:E安全

 近日,网络犯罪组织FIN7利用高级手法,调用微软动态数据交换(DDE),根本不用启用宏,就可在Office应用程序中执行恶意软件。

FIN7灵活规避安全监测

FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,自2017年初起开始活跃,因攻击美国公司窃取支付卡数据而广为人知。

FIN7向来使用取巧、定制的鱼叉式网络钓鱼诱饵发动攻击。一旦目标遭遇感染,FIN 7会在网络中横向活动,使用各种反取证技术规避检测。该组织习惯于使用对象链接与嵌入(OLE)技术,通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式,即没有文件写入磁盘。ICEBRG的安全研究团队(SRT)在最近发现FIN7已经切换到使用CMD文件而不是LNK文件,这样做很可能是为了逃避检测。

今年6月, FIN7利用新的无文件多段式攻击瞄准美国连锁餐厅;

今年5月,与Carbanak Gang存在关系的FIN7利用Windows兼容性修复程序Shim攻击美国证券交易委员会(SEC)。

Morphisec 研究人员总结了FIN7组织不同攻击途径的时间,研究人员表示,FIN7通常会在攻击被发现几天内采用新技术。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

Morphisec研究人员通过VirusTotal分析了FIN7诱饵附件的检出率。Morphisec在其报告中指出,Virus Total的检出率显示,当FIN7刚开始活跃时,大多数安全解决方案检测不到。一旦安全解决方案更新模式,这些文件的检出率提升至10/56或更高。这个时候,FIN7简单调整代码或安全软件寻找的其它模式部署新工具。这种技术让基于模式的被动检测规则形同虚设。

其它研究人员分析FIN7的战术后指出,FIN7遵循着高超黑客惯用的模式:初步攻击建立立足点提权维持持久性横向活动最终完成任务。
Morphisec总结称,不断改变攻击模式是FIN7的核心商业模式。FIN7每起攻击包含足够多的新功能躲避检测。当安全厂商设法跟上步伐时,FIN7已经在准备下一起攻击。

事实上,快速采用新技术使欧洲信息安全技术展览会(Infosecurity Europe)一名研究人员对FIN7做出这样的评价:大多数环境不可能防住FIN7,检测是能指望的最佳防御措施。

研究人员发现FIN7运作模式的过程

今年早些时候,FIN7就与响应事件的Morphisec一名研究人员“交过手”,FIN组织首先阻止了这名研究人员使用的IP地址,然后放弃了整个命令与控制基础设施。

FIN组织是首批采用高级隐秘无文件恶意软件的组织。为了规避检测,黑客利用无文件恶意软件规避下载并安装极易被检测的恶意软件,黑客会选择使用目标电脑上已经安装的工具,直接向目标电脑的工作内存(Working Memory)注入恶意代码。

网络钓鱼仍是高水平攻击的惯用手法

执行这种操作的命令通常隐藏在附件内,滥用Visual Basic、Object Linking或DDE(动态数据交换)等功能作为附件诱饵。

研究人员分析这些附件诱饵后发现,这些诱饵依赖社会工程——微软用户一般会收到如下弹出框,询问用户是否“启用内容”或“更新链接”——通常用来针对少量目标发起鱼叉式网络钓鱼。

今年早些时候,FIN7涉嫌发送看似来自美国证券交易委员会(SEC)EDGAR(电子化数据收集、分析及检索系统)的电子邮件,而这些邮件携带着标题为“年度报表(10K)的重大变化”。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

10K报表是上市公司每年必须向SEC提交的报表,FIN瞄准的目标为提交给SEC文件中出现的人,这通常意味着这些人的电子邮箱出现在公共文件中。

上周,思科Talos团队的研究人员发现包含欺骗性SEC地址的鱼叉式网络钓鱼邮件,携带的附件使用DDE发起复杂的多段式感染过程,这是FIN7的典型做法。

关于该黑客组织的活跃记录

Carbanak黑客组织(也被称作Anunak)自2013年开始活动以来,卡巴斯基实验室2015年首次发现Carbanak犯罪团伙。该组织使用木马恶意软件对全球的银行发起针对性攻击,盗取30国银行10亿美元之后,该组织的活动才被浮出水面,其在2013年至2014年间,从30个国家100家银行盗窃逾10亿美元。

2016年年初,该组织主要针对美国和中东的银行和金融机构发起攻击。

2016年11月,该组织针对酒店行业的组织机构发起新一轮攻击。

2017年1月,Carbanak开始利用Google服务进行命令与控制(C&C)通信。

关键字:动态数据交换对象链接与嵌入

本文摘自:E安全

x 解密FIN7黑客组织:加速创新,不断变换技术 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

解密FIN7黑客组织:加速创新,不断变换技术

责任编辑:editor004 |来源:企业网D1Net  2017-10-19 12:22:02 本文摘自:E安全

 近日,网络犯罪组织FIN7利用高级手法,调用微软动态数据交换(DDE),根本不用启用宏,就可在Office应用程序中执行恶意软件。

FIN7灵活规避安全监测

FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,自2017年初起开始活跃,因攻击美国公司窃取支付卡数据而广为人知。

FIN7向来使用取巧、定制的鱼叉式网络钓鱼诱饵发动攻击。一旦目标遭遇感染,FIN 7会在网络中横向活动,使用各种反取证技术规避检测。该组织习惯于使用对象链接与嵌入(OLE)技术,通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式,即没有文件写入磁盘。ICEBRG的安全研究团队(SRT)在最近发现FIN7已经切换到使用CMD文件而不是LNK文件,这样做很可能是为了逃避检测。

今年6月, FIN7利用新的无文件多段式攻击瞄准美国连锁餐厅;

今年5月,与Carbanak Gang存在关系的FIN7利用Windows兼容性修复程序Shim攻击美国证券交易委员会(SEC)。

Morphisec 研究人员总结了FIN7组织不同攻击途径的时间,研究人员表示,FIN7通常会在攻击被发现几天内采用新技术。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

Morphisec研究人员通过VirusTotal分析了FIN7诱饵附件的检出率。Morphisec在其报告中指出,Virus Total的检出率显示,当FIN7刚开始活跃时,大多数安全解决方案检测不到。一旦安全解决方案更新模式,这些文件的检出率提升至10/56或更高。这个时候,FIN7简单调整代码或安全软件寻找的其它模式部署新工具。这种技术让基于模式的被动检测规则形同虚设。

其它研究人员分析FIN7的战术后指出,FIN7遵循着高超黑客惯用的模式:初步攻击建立立足点提权维持持久性横向活动最终完成任务。
Morphisec总结称,不断改变攻击模式是FIN7的核心商业模式。FIN7每起攻击包含足够多的新功能躲避检测。当安全厂商设法跟上步伐时,FIN7已经在准备下一起攻击。

事实上,快速采用新技术使欧洲信息安全技术展览会(Infosecurity Europe)一名研究人员对FIN7做出这样的评价:大多数环境不可能防住FIN7,检测是能指望的最佳防御措施。

研究人员发现FIN7运作模式的过程

今年早些时候,FIN7就与响应事件的Morphisec一名研究人员“交过手”,FIN组织首先阻止了这名研究人员使用的IP地址,然后放弃了整个命令与控制基础设施。

FIN组织是首批采用高级隐秘无文件恶意软件的组织。为了规避检测,黑客利用无文件恶意软件规避下载并安装极易被检测的恶意软件,黑客会选择使用目标电脑上已经安装的工具,直接向目标电脑的工作内存(Working Memory)注入恶意代码。

网络钓鱼仍是高水平攻击的惯用手法

执行这种操作的命令通常隐藏在附件内,滥用Visual Basic、Object Linking或DDE(动态数据交换)等功能作为附件诱饵。

研究人员分析这些附件诱饵后发现,这些诱饵依赖社会工程——微软用户一般会收到如下弹出框,询问用户是否“启用内容”或“更新链接”——通常用来针对少量目标发起鱼叉式网络钓鱼。

今年早些时候,FIN7涉嫌发送看似来自美国证券交易委员会(SEC)EDGAR(电子化数据收集、分析及检索系统)的电子邮件,而这些邮件携带着标题为“年度报表(10K)的重大变化”。

解密FIN7黑客组织:加速创新,不断变换技术-E安全

10K报表是上市公司每年必须向SEC提交的报表,FIN瞄准的目标为提交给SEC文件中出现的人,这通常意味着这些人的电子邮箱出现在公共文件中。

上周,思科Talos团队的研究人员发现包含欺骗性SEC地址的鱼叉式网络钓鱼邮件,携带的附件使用DDE发起复杂的多段式感染过程,这是FIN7的典型做法。

关于该黑客组织的活跃记录

Carbanak黑客组织(也被称作Anunak)自2013年开始活动以来,卡巴斯基实验室2015年首次发现Carbanak犯罪团伙。该组织使用木马恶意软件对全球的银行发起针对性攻击,盗取30国银行10亿美元之后,该组织的活动才被浮出水面,其在2013年至2014年间,从30个国家100家银行盗窃逾10亿美元。

2016年年初,该组织主要针对美国和中东的银行和金融机构发起攻击。

2016年11月,该组织针对酒店行业的组织机构发起新一轮攻击。

2017年1月,Carbanak开始利用Google服务进行命令与控制(C&C)通信。

关键字:动态数据交换对象链接与嵌入

本文摘自:E安全

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^