研究人员揭示了FIN7组织基于Python的Anubis的隐秘后门程序

网络安全专家已经确定了由臭名昭著的金融网络犯罪组织 FIN7 开发的一种复杂的新后门工具。

这种基于 Python 的恶意软件被称为“Anubis Backdoor”，代表了该组织的战术、技术和程序 （TTP） 的演变，这些策略、技术和程序在历史上曾在全球范围内造成数十亿美元的损失。

G Data 研究人员发现，最初的感染是通过一个看似无辜的 ZIP 档案发生的，其中包含多个 Python 文件，通过有针对性的网络钓鱼活动进行分发。

关键组件是一个名为“conf.py”的脚本，在首次提交给 VirusTotal 时，检测率非常低，这证明了该小组的混淆技术的有效性。

在 conf.py 中实现 load 函数

分析揭示了一种多层攻击，将合法编程技术与高级混淆相结合，以掩盖恶意意图。

FIN7 的实施展示了他们从早期活动开始的持续演变，使用 Python 创建一个与正常系统作混合的后门。

据安全研究人员称，Anubis Backdoor 特别令人担忧的是其最小的占地面积和复杂的反取证功能。

该恶意软件结合使用加密、混淆和临时文件执行，这使得检测和分析更具挑战性。

Anubis Backdoor 分析

Anubis Backdoor 功能的核心是巧妙的解密机制。

该恶意软件采用自定义的“加载”功能，该函数可以拆分混淆的字符串、提取加密密钥并执行解密的代码，同时留下最少的痕迹：-

def load(obfcode):    listed = obfcode.split("_pKo_JX_" * 5)    del listed[0]; del listed[-1]    key = listed[0].encode()    del listed[0]    anubis = WD(key)    src = "|    for i in listed:        src += anubis.decrypt(i) + "n"    tmp = tempfile.NamedTemporaryFile(delete=False)    tmp.write(src.encode())    p = subprocess.Popen([sys.executable, tmp.name])    tmp.close()    p.wait()    os.unlink(tmp.name)

该恶意软件通过 Windows 注册表保持持久性，将其命令和控制 （C2） 配置存储在“HKEY_CURRENT_USERSoftwareFormidableHandlers”或类似的随机键名称下。

与 C2 服务器的通信通过 HTTP 端口 （80/443） 进行，使用 Base64 编码和自定义字母替换进行流量混淆。

代码中的静态配置显示了位于 38.134.148.20 和 5.252.177.249 的默认 C2 服务器，以及硬编码的代理标识符：

AGENT_ID = 'A19N'DEFAULT_C2_SERVERS = ['38.134.148.20','5.252.177.249']DEFAULT_C2_PORTS = [80, 443]

后门程序的命令集支持完整的系统控制，包括文件作、环境侦查和动态 C2 更新。

这种复杂的工具集为 FIN7 提供了灵活的远程访问功能，可与合法网络流量混合，使其成为对全球组织的巨大威胁。

原文来自: cybersecuritynews.com