[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
這是作者新開(kāi)的一個(gè)專欄,主要翻譯國(guó)外知名的安全廠商APT報(bào)告文章,了解它們的安全技術(shù),學(xué)習(xí)它們溯源APT組織的方法,希望對(duì)您有所幫助。前文分享了釣魚郵件網(wǎng)址混淆URL逃避檢測(cè),這篇文章將介紹APT組織Fin7 / Carbanak的Tirion惡意軟件,包括OpBlueRaven行動(dòng)。
- 原文標(biāo)題:OpBlueRaven: Unveiling Fin7/Carbanak - Part I : Tirion
- 原文鏈接:https://threatintel.blog/OPBlueRaven-Part1/
- 作者時(shí)間:YUSUF ARSLAN POLAT 2020-07-31
- 文章來(lái)源:threatintel.blog、PRODAFT SARL、INVICTUS
文章目錄
- 一.Fin7簡(jiǎn)介
- 二.關(guān)于Fin7和Carbanak
- 三.Carbanak后門
- 1.鍵盤記錄插件
- 2.過(guò)程監(jiān)控器插件
- 四.Tirion Loader(Carbanak后門的未來(lái))
- 1.文件結(jié)構(gòu)
- 2.Readme.txt
- 3.Loader組件
- 4.PswInfoGrabber
- 五.OpBlueRaven | 第一部分結(jié)尾
一.Fin7簡(jiǎn)介
FIN7組織的攻擊目標(biāo)是金融機(jī)構(gòu)(尤其美國(guó)金融公司),以釣魚郵件為主要攻擊渠道。常見(jiàn)攻擊手法包括:
- 使用精密的魚叉式網(wǎng)絡(luò)釣魚郵箱,來(lái)說(shuō)服目標(biāo)對(duì)象下載附件,然后透過(guò)附件讓其公司網(wǎng)絡(luò)遭到惡意軟件的感染
- 擅長(zhǎng)使用非PE文件進(jìn)行攻擊,在攻擊過(guò)程中很少有PE文件落地
- 主要的攻擊載荷都是基于js腳本和powershell腳本進(jìn)行,這在一定程度上躲避安全軟件的查殺
- 在FIN7所使用的惡意軟件中,最常見(jiàn)的是Carbanak惡意軟件的特制版本,已在對(duì)銀行的多次攻擊中使用過(guò)
常規(guī)攻擊流程如下圖所示,攻擊者以釣魚郵件為進(jìn)入渠道,在惡意文檔中嵌入vbs腳本,vbs腳本運(yùn)行后解密后門程序?qū)懭胱?cè)表中,同時(shí)將調(diào)用后門程序的腳本以ads隱藏在磁盤文件中。在后門運(yùn)行后,使用DNS TXT做為C&C通信方式。
在郵件附件文檔中,使用了惡意宏代碼,不同釣魚文檔的界面大體如下,值的一提的是使用漢堡圖片做為誘餌文檔時(shí)的攻擊目標(biāo)是一家國(guó)外的食品公司。遭到FIN7入侵的公司包括Chipotle、Chilli’s和Arby’s等知名品牌,該組織被認(rèn)為已入侵?jǐn)?shù)千個(gè)業(yè)務(wù)據(jù)點(diǎn),并且已竊取數(shù)百萬(wàn)個(gè)信用卡號(hào)碼。
隨著技術(shù)深入,該組織部署了新的戰(zhàn)術(shù)(類似于BadUSB)。Securityaffairs網(wǎng)站發(fā)現(xiàn)FIN7通過(guò)美國(guó)郵政服務(wù)(USPS)給目標(biāo)企業(yè)的人力資源、信息技術(shù)或執(zhí)行管理部門的員工郵寄包裹,包含USB設(shè)備、禮品卡等。當(dāng)員工將USB設(shè)備插入計(jì)算機(jī)時(shí),會(huì)注入命令以下載并執(zhí)行以GRIFFON跟蹤的JavaScript后門。
這樣的包裹被發(fā)送給多家企業(yè),包括零售業(yè)、餐飲、酒店。武器化的USB設(shè)備模仿用戶擊鍵特征,啟動(dòng)PowerShell命令從遠(yuǎn)程服務(wù)器檢索惡意軟件。專家們觀察到惡意代碼聯(lián)絡(luò)域名與IP地址位于俄羅斯。
該USB設(shè)備使用Arduino微控制器ATMEGA32U4,并編程模擬USB鍵盤。由于PC默認(rèn)情況下信任鍵盤USB設(shè)備,一旦插入,鍵盤模擬器就會(huì)自動(dòng)插入惡意命令。然后Powershell腳本運(yùn)行第三階段JavaScript,收集系統(tǒng)信息并刪除其他惡意軟件。根據(jù)FBI的警告,一旦收集到目標(biāo)的信息,FIN7組織就開(kāi)始橫向移動(dòng)以獲取管理權(quán)限。在收集到的信息發(fā)送到C&C服務(wù)器之后。主JS代碼會(huì)進(jìn)入一個(gè)無(wú)限循環(huán),在每個(gè)循環(huán)迭代中睡眠2分鐘,然后從命令和控件獲取一個(gè)新命令。
總之,一旦USB控制器芯片被重新編程用于其他用途(如模擬USB鍵盤),這些設(shè)備就可以被用來(lái)發(fā)動(dòng)攻擊,并在用戶不知情的情況下感染他們的計(jì)算機(jī)。再加上這些設(shè)備非常便宜,任何人都可以隨時(shí)使用,這也意味著攻擊者更深入地利用這些技術(shù)和設(shè)備只是時(shí)間問(wèn)題。
參考資料:
- https://www.freebuf.com/articles/network/137612.html
- https://www.freebuf.com/news/231861.html
- https://www.freebuf.com/news/153032.html
- https://securityaffairs.co/wordpress/100661/cyber-crime/fin7-usb-teddy-bears-attacks.html
- https://www.fireeye.com/blog/threat-research/2017/03/fin7_spear_phishing.html
二.關(guān)于Fin7和Carbanak
本文旨在為讀者提供有關(guān)PRODAFT(瑞士)&INVICTUS(歐洲)威脅情報(bào)(PTI)團(tuán)隊(duì)針對(duì)不同威脅參與者的最新操作的詳細(xì)信息,并發(fā)現(xiàn)與臭名昭著的Fin7 APT組織相關(guān)。在文章中,所有信息都源自威脅參與者的一次OPSEC故障,我們將嘗試逐步擴(kuò)展主題,在不斷發(fā)現(xiàn)的基礎(chǔ)上擴(kuò)大范圍。
在2020年5月至7月之間,PRODAFT威脅情報(bào)團(tuán)隊(duì)的四名成員進(jìn)行了BlueRaven行動(dòng)。案例研究源于發(fā)現(xiàn)一組看似不重要的輕微OpSec故障。當(dāng)然,后來(lái)發(fā)現(xiàn)這些威脅因素與臭名昭著的Fin7 / Carbanak威脅因素有關(guān)聯(lián)。
PTI的OP(PTI’s OP)源于攻擊者一方的OPSEC故障。與先前發(fā)現(xiàn)和發(fā)布的數(shù)據(jù)不同,使此OP如此與眾不同的是,我們?cè)O(shè)法發(fā)現(xiàn)了大量有關(guān)攻擊者工具集的未發(fā)布信息,這些信息揭示了攻擊者的TTP。
Carbanak Group / Fin7于2014年首次被發(fā)現(xiàn),是世界上最著名的APT組之一,并且是最早曝光的APT組之一。該組織被認(rèn)為在全球范圍內(nèi)造成超過(guò)9億美元的損失。我們的OP結(jié)果發(fā)現(xiàn)了有關(guān)這些威脅參與者的以下關(guān)鍵信息:
- 獲得Fin7中某些攻擊者的真實(shí)身份
- 有關(guān)Fin7的工具和攻擊方法的詳細(xì)證據(jù)已經(jīng)被發(fā)現(xiàn)
- Fin7和REvil勒索軟件組(將在后面的階段中詳細(xì)介紹)之間的關(guān)系已經(jīng)被發(fā)現(xiàn)
撰寫此報(bào)告旨在提高認(rèn)識(shí)并協(xié)助網(wǎng)絡(luò)安全專家進(jìn)行分析。當(dāng)然,PRODAFT的一些發(fā)現(xiàn)已被刪除。因此,授權(quán)機(jī)構(gòu)可以與PRODAFT或INVICTUS聯(lián)系以進(jìn)行進(jìn)一步的披露。
每篇文章都將討論操作的特定方面,不僅僅包括攻擊方法、組織和攻擊者的身份。我們的團(tuán)隊(duì)還設(shè)法竊聽(tīng)攻擊者之間的各種對(duì)話,這些對(duì)話中的大多數(shù)也將在整個(gè)系列中發(fā)布。
三.Carbanak后門
Carbanak Backdoor是我們小組獲得的第一批發(fā)現(xiàn)之一。當(dāng)前版本的Carbanak后門程序(該團(tuán)隊(duì)中最知名的工具,即Carbanak組的名字)是引起我們團(tuán)隊(duì)關(guān)注的第一個(gè)工具。 根據(jù)PE文件標(biāo)題在2019年11月編譯的“3.7.5”版本是后門命令和控制服務(wù)器最新檢測(cè)到的版本。下面的屏幕快照提供了“3.7.5”版Carbanak后門管理面板的屏幕截圖。
我們將獲得的最新版本與2017年Virustotal中的“命令管理器”版本進(jìn)行了比較,并對(duì)此工具進(jìn)行了評(píng)估。下圖反映了上述兩個(gè)版本反編譯獲得的源代碼之間的差異。圖中僅列出了兩個(gè)版本之間的源代碼,左列屬于2017年上傳到Virustotal的文件,右列屬于我們團(tuán)隊(duì)獲得的“3.7.5”版本。藍(lán)線表示不同的文件,而綠線表示新文件。
通過(guò)對(duì)命令和控制服務(wù)器軟件的檢查,可以看出,GUI界面對(duì)插件進(jìn)行了基本更改,以創(chuàng)建更詳細(xì)的錯(cuò)誤日志,并添加了新的語(yǔ)言編碼。
確定了2019年編譯的6個(gè)版本的惡意軟件“命令管理器”工具。下圖給出了檢測(cè)到的版本的時(shí)間戳。
在舊版本的Bot.dll中,它是在受害設(shè)備上運(yùn)行的惡意軟件的組件,在反匯編中檢測(cè)到981個(gè)函數(shù),而在同一軟件的新版本中檢測(cè)到706個(gè)函數(shù)。使用Diaphora二進(jìn)制比較工具,有607個(gè)函數(shù)獲得最佳匹配分?jǐn)?shù),而有43個(gè)函數(shù)獲得部分匹配。此外,與Virustotal中的舊版本相比,新的bot文件的文件大小小于50kb。在檢查新的bot文件時(shí),可以看到,舊版本中除基本函數(shù)以外的函數(shù)都是作為插件實(shí)現(xiàn)的。這些新插件可以執(zhí)行諸如按鍵記錄、過(guò)程監(jiān)視之類的操作,并且可以通過(guò)反射加載方法無(wú)文件執(zhí)行。 結(jié)果,惡意軟件的文件大小減小了,從而為鑒識(shí)基于簽名的安全軟件解決方案留下了更少的痕跡。
- hd.plug
- hd64.plug
- hvnc.plug
- hvnc64.plug
- keylog.dll
- keylog64.dll
- procmon.dll
- procmon64.dll
- rdpwrap.dll
- switcher.dll
- switcher64.dll
- vnc.plug
- vnc64.plug
在本小節(jié)中,將檢查先前發(fā)現(xiàn)的文件中“not”的一些插件。由于這些是工具包中前所未有的函數(shù),因此,我們認(rèn)為以下內(nèi)容對(duì)于進(jìn)一步分析該組織的TTP至關(guān)重要。
1.鍵盤記錄插件
“keylog.dll”插件使用RegisterRawInputDevices API捕獲用戶擊鍵。為了確定在哪個(gè)上下文中使用了擊鍵,前臺(tái)進(jìn)程的“可執(zhí)行文件路徑(Executable File Path)”、“ Windows文本(Windows Text)”和時(shí)間戳(Timestamp)信息將與擊鍵一起記錄下來(lái)。
鍵盤記錄插件使用Windows GDI + API將收集的數(shù)據(jù)轉(zhuǎn)換為Bitmap,并將其寫入用戶%TEMP%目錄,名為“ SA45E91.tmp”的文件夾中。下圖顯示了惡意軟件用來(lái)存儲(chǔ)數(shù)據(jù)的函數(shù)。
下圖給出了所獲得日志示例的屏幕截圖。
2.過(guò)程監(jiān)控器插件
該插件可以跟蹤在目標(biāo)系統(tǒng)中運(yùn)行的進(jìn)程,并用于獲取有關(guān)所需進(jìn)程的開(kāi)始和終止時(shí)間的信息。下圖給出了收集有關(guān)正在運(yùn)行進(jìn)程的信息的函數(shù)屏幕快照。
四.Tirion Loader(Carbanak后門的未來(lái))
Fin7組織的新加載程序工具是名為Tirion的惡意軟件,該軟件被認(rèn)為是替代Carbanak后門程序而開(kāi)發(fā)的。它包含許多功能,用于信息收集、代碼執(zhí)行、偵察和橫向移動(dòng)。與上一節(jié)中檢查過(guò)的最新版本的Carbanak后門程序一樣,該惡意軟件執(zhí)行的許多功能已作為獨(dú)立的插件開(kāi)發(fā),使用反射性加載方法將它們加載到目標(biāo)系統(tǒng)中并以無(wú)文件方式執(zhí)行。公開(kāi)數(shù)據(jù)顯示,Carbanak后門的開(kāi)發(fā)目前已停止,并且同一團(tuán)隊(duì)正在Tirion Loader上進(jìn)行開(kāi)發(fā)和測(cè)試。攻擊者之間的通信日志表明,此新工具旨在替代Carbanak后門。
Tirion惡意軟件的功能如下:
- 信息收集(Information Gathering)
- 截屏(Taking Screenshot)
- 列出運(yùn)行進(jìn)程(List Running Processes)
- 命令/代碼執(zhí)行(Command / Code execution)
- 進(jìn)程遷移(Process Migration)
- Mimikatz執(zhí)行(Mimikatz Execution)
- 密碼獲取(Password Grabbing)
- 激活目錄及網(wǎng)絡(luò)偵聽(tīng)(Active Directory and Network Recon)
檢測(cè)到的最新Tirion Loader版本屬于“2020年6月28日23:24:03”編譯的版本“1.6.4”。下圖顯示了攻擊者可以在機(jī)器人設(shè)備上執(zhí)行的操作。“1.0”版本是最早檢測(cè)到的版本,被認(rèn)為是最早使用的版本,已在“2020年3月5日20:29:53”上進(jìn)行了編譯。
攻擊者編寫的“readme.txt”文件中清楚地說(shuō)明了惡意軟件的基本組件。
相關(guān)翻譯如下,該系統(tǒng)包含3個(gè)組件:
- 服務(wù)器(Server)
- 客戶端(Client)
- 加載器(Loader)
這些組件的相關(guān)性如下,加載器定期連接到服務(wù)器,客戶端通過(guò)永久連接連接到服務(wù)器。加載器執(zhí)行來(lái)自服務(wù)器的命令并向服務(wù)器發(fā)送響應(yīng)。通過(guò)客戶端,用戶通過(guò)服務(wù)器向加載器發(fā)出命令;接收到來(lái)自加載器的響應(yīng)后,服務(wù)器將其傳輸?shù)絚l。
1.文件結(jié)構(gòu)
惡意軟件的文件組織如下:
2.Readme.txt
“readme.txt”文件中某些重要項(xiàng)目的英文翻譯說(shuō)明如下,該文件指示從惡意軟件的第一版本到“1.6.3”版本的更改,并包含構(gòu)建說(shuō)明。(省略俄語(yǔ)原文)
3.Loader組件
該惡意軟件的這一組件將在受害系統(tǒng)上運(yùn)行,大小約為9kb,并從服務(wù)器運(yùn)行命令。當(dāng)攻擊者想要在受害者的設(shè)備上運(yùn)行某個(gè)功能時(shí),包含該功能的相關(guān)插件文件會(huì)以反射方式加載到受害者的設(shè)備上,并以無(wú)文件方式執(zhí)行。
服務(wù)器和加載器之間的網(wǎng)絡(luò)流量使用在構(gòu)建階段確定的密鑰進(jìn)行加密。下圖包含相關(guān)的加密算法。
4.PswInfoGrabber
它是一個(gè)DLL文件,負(fù)責(zé)從目標(biāo)系統(tǒng)中竊取和報(bào)告敏感信息,尤其是瀏覽器和郵件密碼。確定攻擊者也獨(dú)立于Tirion Loader使用了此工具。在下圖中,包含由惡意軟件收集的日志的屏幕截圖。
五.OpBlueRaven | 第一部分結(jié)尾
在這些系列的第一版中,我們希望通過(guò)將PTI發(fā)現(xiàn)的最新Carbanak工具包與可公開(kāi)訪問(wèn)的較舊版本進(jìn)行比較,以介紹我們的分析報(bào)告。
在下一篇文章中,我們還將通過(guò)提供攻擊者之間實(shí)際對(duì)話的參考來(lái)更深入地研究攻擊者的TTP。除此之外,我們還將提供直接從威脅參與者的計(jì)算機(jī)獲取的屏幕截圖。
最后希望這篇文章對(duì)您有所幫助,中秋節(jié)和國(guó)慶節(jié)快樂(lè)。某人照顧好自己喔!
前文分享:
- [譯] APT分析報(bào)告:01.Linux系統(tǒng)下針對(duì)性的APT攻擊概述
- [譯] APT分析報(bào)告:02.釣魚郵件網(wǎng)址混淆URL逃避檢測(cè)
2020年8月18新開(kāi)的“娜璋AI安全之家”,主要圍繞Python大數(shù)據(jù)分析、網(wǎng)絡(luò)空間安全、逆向分析、APT分析報(bào)告、人工智能、Web滲透及攻防技術(shù)進(jìn)行講解,同時(shí)分享CCF、SCI、南核北核論文的算法實(shí)現(xiàn)。娜璋之家會(huì)更加系統(tǒng),并重構(gòu)作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學(xué)所感所做分享出來(lái),還請(qǐng)各位多多指教,真誠(chéng)邀請(qǐng)您的關(guān)注!謝謝。
(By:Eastmount 2020-10-04 星期天 晚上12點(diǎn)寫于武漢 http://blog.csdn.net/eastmount/ )
附錄:YARA簽名
import "pe" rule apt_Fin7_Tirion_plugins {meta:author = "Yusuf A. POLAT"description = "Tirion Loader's plugins. It is used by Fin7 group. Need manual verification"version = "1.0"date = "2020-07-22" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "fdc0ec0cc895f5b0440d942c0ab60eedeb6e6dca64a93cecb6f1685c0a7b99ae"strings:$a1 = "ReflectiveLoader" ascii$a2 = "plg.dll" fullword asciicondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000 and (pe.exports("?ReflectiveLoader@@YA_KPEAX@Z") orpe.exports("?ReflectiveLoader@@YGKPAX@Z")) }rule apt_Fin7_Tirion_PswInfoGrabber {meta:author = "Yusuf A. POLAT"description = "Tirion Loader's PswInfoGrabber plugin. It is used by Fin7 group."version = "1.0"date = "2020-07-22" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "e7d89d1f23c2c31e2cd188042436ce6d83dac571a5f30e76cbbcdfaf51e30ad9"strings:$a1 = "IE/Edge Grabber Begin" fullword ascii$a2 = "Mail Grabber Begin" fullword ascii$a3 = "PswInfoGrabber" ascii$a4 = "Chrome Login Profile: '"$a5 = "[LOGIN]:[HOST]:"condition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 150KB }rule apt_Fin7_Tirion_loader {meta:author = "Yusuf A. POLAT"description = "Tirion Loader's loader component. It is used by Fin7 group."version = "1.0"date = "2020-07-22" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "e7d89d1f23c2c31e2cd188042436ce6d83dac571a5f30e76cbbcdfaf51e30ad9"strings:$a1 = "HOST_PORTS" fullword ascii$a2 = "KEY_PASSWORD" fullword ascii$a3 = "HOSTS_CONNECT" ascii$a4 = "SystemFunction036"$a5 = "ReflectiveLoader"condition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15KB }rule apt_Fin7_Carbanak_keylogplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's keylogger plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "db486e0cb94cf2bbe38173b7ce0eb02731ad9a435a04899a03d57b06cecddc4d"strings:$a1 = "SA45E91.tmp" fullword ascii$a2 = "%02d.%02d.%04d %02d:%02d" fullword ascii$a3 = "Event time:" fullword ascii$a4 = "MY_CLASS" fullword ascii$a5 = "RegisterRawInputDevices" fullword ascii condition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000 }rule apt_Fin7_Carbanak_procmonplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's process monitoring plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "3bf8610241a808e85e6ebaac2bb92ba4ae92c3ec1a6e56e21937efec71ea5425"strings:$a1 = "[%02d.%02d.%04d %02d:%02d:%02d]" fullword ascii$a2 = "%s open %s" fullword ascii$a3 = "added monitoring %s" fullword ascii$a4 = "pm.dll" fullword ascii$a5 = "CreateToolhelp32Snapshot" fullword ascii condition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 10000 }rule apt_Fin7_Carbanak_hdplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's hidden desktop plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "39b545c7cd26258a9e45923053a5a64c9461470c3d7bfce3be1c776b287e8a95"strings:$a1 = "hd%s%s" fullword ascii$a2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" fullword ascii$a3 = "StartHDServer" fullword ascii$a4 = "SetThreadDesktop" fullword asciicondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000 }rule apt_Fin7_Carbanak_hvncplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's hvnc plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "40ce820df679b59476f5d277350dca43e3b3f8cac7ec47ad638371aaa646c315"strings:$a1 = "VncStartServer" fullword ascii$a2 = "VncStopServer" fullword ascii$a3 = "RFB 003.008" fullword ascii$a4 = "-nomerge -noframemerging" fullword ascii$a5 = "--no-sandbox --allow-no-sandbox-job --disable-3d-apis --disable-gpu --disable-d3d11" fullword widecondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 300000 }rule apt_Fin7_Carbanak_vncplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's vnc plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "ecf3679f659c5a1393b4a8b7d7cca615c33c21ab525952f8417c2a828697116a"strings:$a1 = "VncStartServer" fullword ascii$a2 = "VncStopServer" fullword ascii$a3 = "ReflectiveLoader" fullword ascii$a4 = "IDR_VNC_DLL" fullword asciicondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 400000 }rule apt_Fin7_Carbanak_rdpplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's rdp plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "0d3f1696aae8472145400d6858b1c44ba7532362be5850dae2edbd4a40f36aa5"strings:$a1 = "sdbinst.exe" fullword ascii$a2 = "-q -n \"UAC\"" fullword ascii$a3 = "-q -u \"%s\"" fullword ascii$a4 = "test.txt" fullword ascii$a5 = "install" fullword ascii$a6 = "uninstall" fullword asciicondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 400000 }rule apt_Fin7_Carbanak_switcherplugin {meta:author = "Yusuf A. POLAT"description = "Carbanak backdoor's switcher plugin. It is used by Fin7 group"version = "1.0"date = "2020-07-21" reference = "https://threatintelligence.blog/"copyright = "PRODAFT"SHA256 = "d470da028679ca8038b062f9f629d89a994c79d1afc4862104611bb36326d0c8"strings:$a1 = "iiGI1E05.tmp" fullword ascii$a2 = "oCh4246.tmp" fullword ascii$a3 = "inf_start" fullword ascii$a4 = "Shell_TrayWnd" fullword ascii$a5 = "ReadDirectoryChangesW" fullword ascii$a6 = "CreateToolhelp32Snapshot" fullword asciicondition:uint16(0) == 0x5A4D and (all of ($a*)) and filesize < 15000 }總結(jié)
以上是生活随笔為你收集整理的[译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: [Python从零到壹] 三.语法基础之
- 下一篇: [网络安全提高班] 一〇一.网络攻防溯源