黑客组织FIN7使用新技术来规避安全检测

ICEBRG的安全研究团队（SRT）长期致力于跟踪与黑客组织FIN7相关的威胁活动，FIN7一直在不断调整他们的网络钓鱼文件以避免检测。

FIN7（也被称为Anunak或Carbanak）自2017年初起开始活跃，习惯于使用对象链接与嵌入（OLE）技术，通过在在Word文档中嵌入LNK文件来分发恶意软件。在攻击中经常采用“无文件”攻击方式，即没有文件写入磁盘。

不过，SRT在最近发现FIN7已经切换到使用CMD文件而不是LNK文件，这样做很可能是为了逃避检测。

研究人员解释说，当CMD文件被执行时，将Jscript代码写入当前用户主目录下的“tt.txt”。然后，批处理脚本会在本文档下使用JScript引擎运行WScript，在之前会将其自身复制到“pp.txt”，也在当前用户的主目录下。这个JScript代码将从文件“pp.txt”中读取，对文件中的每一行的第一个字符之后进行评估，但会跳过前四行（CMD代码本身）。

虽然实现方式不同，但这也是一种早已被熟知的技术，因为FIN7通过使用JScript的“eval”函数经常运行注释掉的代码，作为字符串读取。

无论是CMD文件还是LNK文件，其其最终目的都是引导JScript代码被执行。FIN7使用CMD文件的转变可能表明他们希望保持领先于检测者。

SRT还观察到，黑客为其独特的后门HALFBAKED使用了新的混淆策略，以提高其攻击力度和逃避检测的能力。

研究人员解释说，在之前，HALFBAKED代码库的不同阶段使用base64编码，存储在一个名为“srcTxt”的字符串数组变量中。而现在，这个变量的名称被模糊化，base64字符串被分解成数组中的多个字符串。

此外，现在的HALFBAKED后门包含了一个内置的命令“getNK2”。该命令旨在检索受害者的Microsoft Outlook电子邮件客户端自动完成列表。这可能表明FIN7希望通过受害者获取到更多的网络钓鱼目标。

该命令可能以Outlook的NK2文件命名，其中包含Microsoft Outlook 2007和2010的自动完成地址列表。因为较新版本的outlook已经不再使用NK2文件，所以FIN7还编写了功能来处理较新版本的Outlook在同一个“getNK2”命令中。该命令将在受害者系统上执行一个额外的JScript函数。

FIN7已经用实际行动证明，他们具有很高强度的适应能力，能够应对各种检测机制。因此，ICEBRG提醒各位安全管理人员必须权衡自己系统的签名性能，同时应扩大检测范围，即使这样做可能会带来很多误报。