FIN7 灵活避免安全监控
FIN7(也称为 Anunak 或 Carbanak)是迄今为止组织最完善、最复杂的网络犯罪组织,自2017年初以来一直活跃,以攻击美国公司窃取支付卡数据而闻名。
FIN7 一直使用棘手的定制鱼叉网络钓鱼诱饵进行攻击。一旦目标被感染,FIN 7 将在网络中横向移动,并使用各种反收集技术来避免检测。该组织习惯于使用对象链接和嵌入 (OLE) 技术,通过 Word 嵌入在文档中LNK 文件分发恶意软件。常用于攻击。“无文件”攻击,即磁盘上没有文件。ICEBRG 安全研究团队 (SRT) 最近发现 FIN7 已切换到使用 CMD 文件而不是 LNK 文件,这很可能会避免检测。
6 月,FIN7 以新的无文件攻击美国连锁餐厅;
5 月,和 Carbanak Gang 有联系的 FIN7 使用 Windows 兼容性修复程序 Shim 攻击美国证券交易委员会 (SEC)。
Morphisec 研究人员总结了 FIN7 不同攻击向量的时间表称 FIN7 通常在发现攻击后几天内使用新技术。
Morphisec 研究人员通过 VirusTotal 分析了 FIN7 诱饵附件的检测率。Morphisec 在其报告中指出,病毒
Total 的检测率表明,当 FIN7 第一次激活时,大多数安全解决方案都没有被检测到。一旦安全解决方案更新,这些文件的检测率将提高到 10/56 或更高。FIN7 只需调整安全软件寻找的代码或其他模式来部署新工具。该技术使基于模式的被动检测规则变得无用。
分析 FIN7其他研究人员他研究人员指出,FIN7 遵循复杂的黑客模式:初始攻击建立立足点,提高权限,保持持续的横向活动,最终完成任务。
Morphisec 得出结论,不断变化的攻击模式是 FIN7 核心商业模式。FIN7 攻击包含足够的新特性来避免检测。在安全供应商试图跟上步伐的同时,FIN7 已经在为下一次攻击做准备。
事实上,新技术的快速使用导致 Infosecurity Europe 的一名研究人员FIN7 这么说:大多数环境对 不太可能FIN7 安全,检测是您可以信赖的最佳防御措施。
研究人员如何发现 FIN7 工作原理
今年早些时候,FIN7“对抗” 对事件做出回应Morphisec 研究人员。FIN 组首先封锁了研究人员使用的 IP 地址,然后丢弃整个指挥和控制基础设施。