FireEye對FIN7犯罪團伙的追查分析（一）

2018年8月1日，美國華盛頓西區地方檢察官辦公室發布了一份起訴書，並宣布逮捕了一個網路犯罪組織領導層中的三名犯罪嫌疑人，這個團伙就是臭名昭著的FIN7，FireEye自從2015年就開始追蹤該組織了。

FIN7組織介紹

FIN7是一個龐大的網路犯罪集團，從2013年起，他們攻擊銀行，各大公司的電子支付系統以及那些不幸安裝了他們的惡意軟體的金融機構。

在2015年後期開始變得活躍，到了2017年初，它的犯罪活動達到頂峰，短短几年間，成功滲透了40個國家和地區的100多家金融機構，他們攻擊造成的損失，規模之大，令人觸目驚心。每次發動攻擊，犯罪份子都能偷走高達上千萬歐元！可以肯定，FIN7是近十年來對金融機構威脅最大的組織。截至目前的統計，他們已經精心策划了針對100多個金融組織的攻擊，總共造成的金融業損失竟高達10億歐元。

FIN7是一個高度專業，有嚴密組織的網路犯罪集團。研究人員發現，他們類似公司化運作，有著嚴謹的上下班時間，晚上和周末他們也會像常人一樣下班。

他們背後似乎有著自己獨立的研究和開發團隊，開發著他們自己使用的各種惡意軟體和網路攻擊方法。因為都是自己開發的惡意軟體自己用，因此殺毒軟體公司通常都要等他們的軟體傳播開後才有所反應，而那時已經晚了。

他們分工明確，有不同的部門，有的專門針對各種高級酒店或者高級商場（在這些地方消費的人都比較有錢，信用卡額度比較高，信用卡信息比較有價值），有的直接針對各種銀行和金融機構。

2013年，Fin7利用木馬軟體Carberp和Anunak率先攻擊了許多金融機構。隨後又盜取了其他很多機構的信用卡信息。

在很長一段時間內，因為不清楚這些網路攻擊的來源和組織，網路安全專家曾經認為這些都是一起獨立的案件。直到後來，研究人員發現惡意軟體的蛛絲馬跡，它們都有相同的特徵，這才意識到，原來這很多都是同一伙人做的，最終，給他們起名FIN7 （這原本是指專盜商店和酒店業的信用卡的那伙黑客集團）。

儘管目前有許多機構將FIN7又稱為Carbanak組織，但FireEye認為這種稱呼顯然不對。之所以又被稱為Carbanak組織，原因是因為該組織在攻擊中大量使用了Carbanak後門，Carbanak後門是基於插件化的架構進行開發的，功能完備且具備數據竊取能力。但FireEye認為，FIN7在攻擊中還使用了其他技術和後門，因此Carbanak組織顯然太過片面。

本文FireEye就對FIN7的犯罪活動範圍、惡意攻擊技術的創新能力、採用的獨特的社會工程方法，以及他們最近的活動進行了一次完整的梳理。本文還提供了FIN7攻擊的技術環境、歷史攻擊樣本和各種技術性能指標，以方便金融組織可以使用這些指標來檢測可能存在的FIN7攻擊。

FIN7的犯罪活動過程

FIN7的特點是他們一旦找到攻擊目標，就會持續耐心的進行滲透、攻擊從而控制機構的支付卡系統，在將裡面的資金盜竊後，他們還會通過將偷來的錢兌換成加密貨幣（如比特幣之類），從而讓執法機構無法追查。整個過程分工明確，耗時耗力，不過一旦成功，收穫也頗豐。而隨著FIN7組織的成熟和發展，FIN7不僅限於對信用卡數據盜竊。在某些情況下，當他們遇到無法從使用端到端加密(E2EE)或點對點加密(P2PE)保護的POS系統獲取銀行卡數據時，就會直接掉頭攻擊該POS系統所在機構的財務部門。

此外，在2017年4月，FireEye就曾報告說，FIN7向多名美國證券交易委員會(SEC)相關人員發送了魚叉式釣魚郵件，通過這些目標攻擊者，FIN7就可以竊取許多股票交易中的重要且非公開的信息。

由於FIN7多樣化的攻擊策略和技術，目前只要是與金融業務相關的機構，都逃不過他們的魔掌，這樣他們的攻擊就不僅僅是那些只與支付卡行業相關的機構了。根據目前FireEye對美國和歐洲的統計，以下目標就是FIN7所涉及的全部攻擊範圍：

·餐廳

·旅行社

·教育機構

·賭場和遊戲場所

·施工機構

·能源機構

·零售機構

·金融機構

·電信機構

·高科技行業

·政府部門

·軟體業

·商業服務機構

FIN7不斷改進和創新的攻擊技術

在FireEye跟蹤FIN7攻擊活動的過程中，攻擊者一直試圖讓自己的攻擊技術走在時代最前沿，以防止被發現，其創新策略包括，使用最新的攻擊策略和逃避機制，讓整個攻擊過程的步驟變得複雜化，以防止被識別出來。例如，在2017年4月，FireEye發現了FIN7所用的魚叉式釣魚郵件，這些郵件利用隱藏的快捷方式文件(LNK文件)來啟動攻擊過程，並通過mshta.exe啟動VBScript功能來感染受害者。這直接繞過了對武器化的office宏的使用，以逃避安全檢測。

FireEye之前還報道了FIN7使用CARBANAK後門作為後期開發工具，以加強對其網路攻擊的力度，保持對受害者環境的訪問能力。Carbanak自2013年首次出現以來，共從40多個國家100多個銀行當中竊取資金12億美元。FIN7從2015年末也開始使用CARBANAK後門，FIN7對CARBANAK的使用尤其值得注意，因為他們使用了創造性的持久性機制來啟動後門。CARBANAK組織利用了一個應用程序shim資料庫，該資料庫將惡意的內存補丁注入到服務控制管理器(Services .exe)進程中，然後生成一個CARBANAK後門進程，FIN7還使用這種策略來安裝一個支付卡收集實用程序。

FIN7的另一個顯著特徵是他們大量使用數字證書，不出所料，惡意攻擊者試圖利用這些證書提供的合法性簽名，通過對其釣魚文檔、後門程序和後期工具進行數字簽名，這樣，FIN7就能夠繞過許多安全控制，這些控制可能會限制Office文檔中宏的執行，並限制在受信任系統上執行未簽名的二進位文件。

FIN7代碼簽名證書樣本

在出現了新的防禦機制後，FIN7又迅速開發了對應的反檢測技巧。在整個2017年，研究人員觀察到了多次FIN7創建的新的混淆方法，而且在某些情況下，每天都會修改反檢測方法，以便同時發起針對多個受害者的攻擊。FIN7組織還會定期對公共存儲庫里的惡意DOC、DOCX和RTF釣魚文檔進行測試，以檢查靜態檢測引擎覆蓋範圍。攻擊者使用Windows命令解釋器(cmd.exe)本地字元串（native string）替換具有有效載荷的混淆樣本，這種替換非常獨特，以至於FireEye專門將其命名為「FINcoding」過程。這些方法激發了研究人員對命令行模糊化處理的深入研究和Daniel Bohannon對Invoke-DOSfuscation的研究。

FIN7採用的社會工程方法

在三年的追蹤分析過程中，FireEye對FIN7採用的各種攻擊手段都做出了預防措施，不過其中最難防的還是FIN7採用的社會工程方法。從利用web表單進行初次接觸，到直接與預先確定的目標管理人員進行定位和接觸，惡意攻擊者展示了一系列社會工程方法，FIN7的影響範圍超出了他們的目標計算機系統，因為FIN7在提交帶有惡意文件的數字投訴之前以及在發送網路釣魚文件之後提醒受害者打開，都採用了一種原始但有效的電子郵件傳遞跟蹤技術。

隨著FIN7的成熟，其釣魚模板的質量也在不斷提高，這些釣魚模板通常會偽裝成個人和企業發送的文件，有時也冒充來自合法政府機構的文件。這些網路釣魚的郵件經常會根據攻擊目標量身定做，且文件主題都會採用比較緊急、重要的話題來催促受害者打開。在針對在個別小型商店的財務部門攻擊中，經理們經常會收到一封所謂的「物品收據」審查單，其他FIN7網路釣魚電子郵件則會偽裝成詳細的餐飲訂單或為有飲食限制的個人定製的特殊菜單。

在2017年初，出現了一系列偽裝成投訴模式的釣魚模板，該模板其實就是一個惡意附件，專門針對飲食行業，這個攻擊模式大概持續了一年多。該模式在FireEye內部稱為「findigest」，這種偽裝成投訴的釣魚攻擊模式，最終還演化成了代表政府，要求受害者進行閱讀的地步。

FDA主題釣魚電子郵件

值得注意的是，由Proofpoint於2017年7月首次識別出的BATELEUR後門活動(而FireEye跟懷疑是FIN7的一個分支機構乾的)，為了使釣魚攻擊看起來更加真實，使用了高度自定義的圖標，這個圖標通常是在Adobe Photoshop中創建的。在同樣的釣魚活動中，FIN7的惡意附件也使用了同樣的圖標。

FDA主題釣魚電子郵件

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！