歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

FIN8重出江湖!或預示新一輪全球POS系統攻擊浪潮

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

研究人員發現了一項針對酒店娛樂行業的新攻擊事件,采用惡意軟件ShellTea / PunchBuggy后門是自2017年以來首次被發現使用的,這也被認為是FIN8集團偃旗息鼓兩年多后在2019年的首秀。
FIN自2017年以來一直很安靜,上次有人報道FIN8黑客是在2016年和2017年,當時FireEye和root9B發布了一系列針對零售行業PoS系統的攻擊報告。
2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“惡意軟件對FIN8的混淆技術進行了分析。FireEye寫道,
在2017年初,FIN8開始使用環境變量和PowerShell通過StdIn(標準輸入)接收命令的能力,以基于進程命令行參數來逃避檢測。
在2017年6月,Root9b也對ShellTea進行了分析,但沒有指明攻擊來源。有趣的是,該公司注意到編碼中存在錯誤:
現在有27個CRC32要在陣列中進行檢查,但將進程名稱CRC32與哈希列表進行比較的循環跑了108次。
在Root9b的分析中,ShellTea的目的是提供POS惡意軟件。 犯罪分子竊取令牌,然后使用這些憑據或創建偽造的Kerberos門票(”黃金門票“)進行橫向操縱,獲得對PoS網絡上網絡服務器的訪問,為接下來的攻擊進行鋪墊,然后啟動包括wmic.exe 的shell命令,將PoS軟件(我們稱之為PoSlurp)推送到PoS機來啟動它。
來自Morphisec的研究人員檢測到的ShellTea的新迭代已經糾正了CRC32錯誤。在2019年3月至5月期間,研究人員報告說發現了“一種新的、高度復雜的ShellTea / PunchBuggy后門惡意軟件變種”,它試圖滲透屬于Morphisec客戶網絡的許多機器,可能是借助網絡釣魚進行的攻擊嘗試。
Morphisec認為這次新攻擊的目的也類似于投放POS惡意軟件,但還不能完全證實這一點。Morphisec通過阻斷客戶端而發現此惡意軟件,因此其最終目的是什么尚無從驗證。
一般都認為FIN8與FIN7是獨立開的,但有研究人員表示,有一些指標與已知的FIN7攻擊(URL和基礎設施)是重疊。FIN7因使用Carbanak惡意軟件而聞名,據報道,可能在2017年5月至2018年4月期間在北美地區破壞了Saks Fifth Avenue和Lord&Taylor商店。
使用ShellTea的新攻擊手段從無文件投放程序開始,使用由注冊表項激活的PowerShell代碼引向ShellTea,然后注入Explorer。它會檢查自己是在沙箱還是虛擬環境中運行,還是正在受到監控。
C2通信通過HTTPS進行。 ShellTea響應它收到的命令,它可能會反射性地加載并執行交付的可執行文件,可能會創建一個文件并將其作為一個進程執行;它可以使用下載的本機Empire ReflectivePicker執行任何PowerShell命令;或者它還可以通過創建一個額外的線程來執行shellcode。此時可能就會下載POS惡意軟件。
PowerShell腳本還收集有關用戶和網絡的信息,包括快照,計算機和用戶名,來自注冊表的電子郵件,任務計劃程序中的任務,系統信息,系統中注冊的AV,權限,域和工作組信息。此數據被Gzip壓縮并保存在temp文件夾中的隨機文件下。這些數據一旦被C2采集到,就會馬上被刪除。
酒店業,特別是其POS網絡,是攻擊者的重要目標。 FIN6、FIN7和FIN8組都是針對POS的多次攻擊而聞名的。由于許多此類網絡運行在Windows 7的POS版本上,因此使得防御變得更加困難。POS屬于零售和酒店行業運營技術的一部分,與制造業中的ICS系統存在相同的問題:處理能力有限,反病毒需求很大,有時還會跳過修補和更新,以免干擾系統可用性。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视