FIN7的演变过程考察

自2017年首次披露关于FIN7的威胁报告和公开研究以来，作者发布了多篇与FIN7行动相关的博文，并且在Mandiant Advantage上提供了更详细的内容。这篇博文将重点讨论最新的FIN7入侵行动，以及所用到的溯源方法。

图1：FIN7从2020到2021年的活动

LOADOUT是一个经过混淆的VBScript下载器，它能够从被感染的系统中获取大量信息，并将信息发送到命令与控制（C2）服务器。C2服务器响应LOADOUT的请求，然后向被感染的系统投送GRIFFON，这是一个基于JavaScript的下载器，能够使用HTTP或DNS获取JavaScript模块并在内存中执行。

毫无疑问，FIN7十分钟爱PowerShell。FIN7在其攻击行动中使用了许多编程语言来编写他们的恶意软件，然而在涉及到与系统的互动时，精心构建的PowerShell加载器和独特的PowerShell命令是FIN7的首选工具。

图2：2019年以来FIN7的PowerShell执行模式

图3：2021年以来FIN7的PowerShell执行模式

图2和图3命令行被用于启动管理员共享文件夹中的脚本和安装Windows服务，其独特之处在于所使用的参数-noni -nop -exe bypass -f。自2019年以来，FIN7在通过CARBANAK等恶意软件与受害者系统进行互动时使用了此类命令行参数。此后，作者在分析POWERPLANT的感染过程时，发现一些独特的PowerShell命令发生了改变。

2019年以来，在不同入侵事件中共同出现过的执行模式揭露了多种以-ex bypass -f或-ex bypass -file为参数的PowerShell命令行。虽然这些执行模式看上去比较简短，但在FIN7相关的威胁活动之外，这些组合在全球的出现率极低。例如，第一种命令行出现了2800多次，均与FIN7引发的事件有关。第二种命令行早在2019年就在10个不同的受害者中出现过近250次，最终也都指向了FIN7。

图4：2019年以来FIN7的PowerShell执行模式

图5：2020年以来FIN7的PowerShell执行模式

图6：2021年以来FIN7的PowerShell执行模式

随着对FIN7入侵行动理解的加深，作者整合了他们的分析工作，并开始将多个可疑的未分类团体合并到FIN7中。作为这一举措的一部分，作者在其为客户提供的2021年防御托管及快速响应雇佣服务中，增加了与FIN7识别相关的新任务。

FIN7选择的目标组织广泛分布在许多的行业，包括软件业、咨询业、金融服务、医疗设备、云服务、媒体、食品与饮料、运输业，以及公用事业。自2020年以来，作者在他们的客户群体中发现了十多起与FIN7相关的入侵事件。下面的使用案例介绍了在2021年Mandiant托管防御雇佣中的FIN7所使用的技术。

(1)FIN7入侵实例

为了在这次入侵行动中获得初始访问权，FIN7使用了遭到泄露的远程桌面协议（RDP）凭据，在两个不同的时间登录到目标服务器，并启动了两个类似的Windows进程链（图7）。

图7：两条FIN7进程事件链

图8：LOADOUT作为信标发送的系统调查信息

TERMITE是一个受密码保护的shellcode加载器，至少有七个不同的威胁集团使用它来加载BEACON、METASPLOIT和BUGHATCH的shellcode。在这里，FIN7使用TERMITE来加载和执行Cobalt Strike BEACON的shellcode Stager。

在通过BEACON进行第二阶段的入侵后，FIN7开始使用内置的Windows命令以及POWERSPLOIT和Kerberoasting的PowerShell模块进行进一步的枚举。

cmd.exe /C net group "Domain Admins" /domain
cmd.exe /C quser
powershell.exe -c import-module C:UsersPublickerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCat > hash.txt
powershell.exe -ex bypass -c import-module C:UsersPublickerberoast_hex.ps1; Invoke-Kerberoast -OutputFormat HashCat
powershell.exe -ex bypass -f pkit.ps

在使用RDP和BEACON进行初步侦察后，FIN7使用经过混淆的加载器将定制的PowerShell后门POWERPLANT载入受害者系统中，并展开第三阶段的入侵：

powershell.exe -ex bypass -f cube.ps1

随后，FIN7尝试窃取凭据并进一步攻击受害者的环境，但成功率有限，因为客户能够利用托管型防御与响应（服务）来进行应急响应与快速补救。

本次入侵事件的一个侧面凸显了网络犯罪技术溯源中的挑战：在FIN7入侵受害者系统的两天之间，FIN12也在同一个受害者系统中活动了数小时，并且使用了同一个RDP账户。但FIN12所使用的基础措施和技术与FIN7大不相同，他们试图使用WEIRDLOOP内存投放器来安装BEACON，直到受害者开展补救工作。

最初的混淆机制非常基础，但能够有效地规避静态检测，其做法是将恶意代码与随机的垃圾代码穿插在一起（图10）。LOADOUT在数月的行动中大获成功，AV检测引擎随即改善了对该下载器的覆盖率。为了在发送消息时绕过检测，LOADOUT开发者通过简单地在字符串中插入“FUCKAV”，将信标中疑似会被检测的特征拆分开。

图9：LOADOUT作为信标发送的系统调查信息

图10：混淆LOADOUT

事实上，开发者正确地定位到了被用于检测的字符串。通过对信标的分析，作者发现有一个新开发中的LOADOUT变体（MD5：485b2a920f3b5ae7cfad93a4120ec20d）在提交到VirusTotal后，只有一个反病毒引擎能够将其检测出来（图11）。两个小时后，又有一个新版本（MD5: 012e7b4d6b5cb8d46771852c66c71d6d）被提交，这次他们通过自定义的混淆机制处理了违规的PowerShell命令（图12）。

图11：混淆前的PowerShell命令

图12：PowerShell命令混淆

5个月后，这个新的改进版的LOADOUT出现了。它经过重构，增加了多层混淆，包括穿插圣经诗句作为填充文本，以及通过自定义机制进行的字符串混淆（图13）。

图13：LOADOUT自定义的字符串混淆

FIN7利用多种方法进入受害者网络，包括网络钓鱼、攻击第三方系统、Atera代理安装包、GoToAssist和RDP。在最近的一个案例中，FIN7入侵了一个销售数字产品的网站，并修改了多个下载链接，使之指向用于托管木马的Amazon S3存储桶，其中包含一个Atera代理安装包。这个远程管理工具之后将被用来把POWERPLANT部署到受害者的系统中。这是Mandiant第一次观察到FIN7利用供应链攻击的情况。FIN7久经考验的CARBANAK和DICELOADER（也被称为Lizar）恶意软件仍在使用，然而FIN7在最近的入侵中更倾向于使用POWERPLANT后门。

对POWERPLANT的研究表明，它是一个强大且庞大的后门框架，并且其实际拥有的能力取决于C2服务器所提供的模块。POWERPLANT后门的代码中包含内部版本标识符。表1展示了从“0.012”版本到“0.028”版本之间已经被发现的样本。

表1：POWERPLANT样本

这些内部版本号的增长的速度表明，FIN7正在积极开发POWERPLANT（图14）。在一次行动中，FIN7在目标系统上部署了功能经过微调的新版POWERPLANT。行动中的FIN7在十分钟内使用了两个版本的POWERPLANT，分别为“0.023”和“0.025”。每个版本的功能都大体类似，较新版本通常有方案上的改进和功能的新增。

图14：POWERPLANT版本号

Mandiant还从POWERPLANT控制器中恢复了服务器端部分的代码组件。部分组件中的线索暗示了恶意软件开发者所具有的防范意识。两个例子可以表明FIN7已经意识到研究人员在调查他们的基础设施，并根据用户名等特征封禁了一部分的主机。

图15：POWERPLANT服务器设置中的功能片断

图16：POWERPLANT服务器设置中的功能片断

图17：POWERPLANT服务器配置中的功能片断

图18：使用PowerShell编写的FIN7 EASYLOOK变体中的VM检查

图19：使用JavaScript编写的FIN7 EASYLOOK第一个变体中的VM检查

表2：BOATLAUNCH PE导出表所含的DLL名称

作者在深入调查后还发现存在使用BIRDWATCH的情况，以及FIN7和疑似FIN7的团体（如UNC3381）所使用的BIRDWATCH变种。BIRDWATCH是一个基于.NET的下载器，它通过HTTP获取有效载荷，将它们写入磁盘并执行。BIRDWATCH还会上传从目标系统中取得的侦察信息，其中包括运行的进程、安装的软件、网络配置、浏览器信息和活动目录数据。

BIRDWATCH通常被统称为“JssLoader”。然而，BIRDWATCH存在多种变体，作者将其作为独立的代码家族进行跟踪。BIRDWATCH的一个变体是CROWVIEW，尽管同样基于.NET，但它与原型BIRDWATCH在代码上差异明显，因此被单独归为一类。与BIRDWATCH不同的是，CROWVIEW可以容纳一个内嵌的有效载荷，可以自我删除，支持额外的参数，并且所存储的配置也稍有差异。

FIN7会使用不同的编程语言中实现了类似或完全相同的功能，这一现象在过去几年观察到的各种代码家族中反复出现。与EASYLOOK类似，BIRDWATCH和CROWVIEW存在JScript和PowerShell的变体，除此以外还有使用C++实现的独立版本。这些代码重用与重叠的数据，与在基础设施和技术方面的分析相结合，有助于在合并多个未分类团体时进行技术溯源。

在第一个例子中，BIOS（基本输入输出系统）序列号收集功能在POWERPLANT和CROWVIEW代码家族中均有出现。

图20：FIN7相关的C#版CROWVIEW代码片段，这是BIRDWATCH的一个变体

图21：FIN7相关的PowerShell版POWERPLANT代码片段

图22：FOWLGAZE("JssLoader")的JSON数据收集格式片段

图23：EASYLOOK（侦察模块）的数据收集代码片段

最后一个代码重用的例子是“theAnswer”的使用，它是一个变量，在CROWVIEW和POWERPLANT对C2服务器发送POST请求的功能中出现，如图24和图25所示。

图24：FIN7相关的C#版CROWVIEW和BIRDWATCH（JssLoader）代码片段

图25：FIN7相关的PowerShell版POWERPLANT代码片段

2021年10月，Mandiant观察到一个主要针对美国组织的活动，攻击者向受害者组织邮寄名为“BadUSB”的恶意USB设备。这一活动的归属被划分到未分类团体UNC3319里，作者怀疑该团体与FIN7有关联，但置信度不高。

图26：UNC3381以Quickbooks为主题的网络钓鱼邮件

Mandiant在2020年发布了结论情报，其中概述了FIN7在盈利入侵行为中可能发生转型的证据，证明其从（窃取）支付卡数据转向了勒索行动。尽管与以前相比，FIN7的行动有了很大的改变，但截至本报告发布时，Mandiant还未能将任何直接部署的勒索软件关联到FIN7上。然而，FIN7成员从事勒索软件行动已经被证实，证据包括入侵数据、代码使用、成员拥有的基础设施和可信的第三方来源。

图27: FIN7使用的代码签名证书，也用于签名认证多个DARKSIDE勒索软件样本

表3：使用代码证书签名的文件

尽管美国司法部在2018年起诉了FIN7的成员，并在2021年宣布了相关的判决，但FIN7的一些成员仍然活跃，并随着时间的推移继续发展犯罪行动。在整个演变过程中，FIN7加快了行动的节奏，扩大了目标范围，甚至可能与地下网络犯罪中的其他勒索软件行动产生联系。

Mandiant安全验证操作：

FIN7相关的MITRE ATT&CK映射：

执行