揭秘阿努比斯:深入解析FIN7’s最新后门的隐匿技术
在高级持续性威胁(APT)不断演变的背景下,臭名昭著的金融网络犯罪组织FIN7为其武器库新增了一款复杂工具。我们最近发现了一个基于Python的新型后门程序"AnubisBackdoor",正被部署于其最新攻击活动中。
FIN7自2015年起活跃,已成为技术最复杂的犯罪组织之一,主要针对金融和酒店行业。该组织以自定义恶意软件开发能力和创新的社会工程学策略闻名,历史上已在全球造成数十亿美元损失。
初始检测覆盖情况
在VirusTotal首次出现时,相关文件(conf.py和backdoor.py)的检测数量较低,表明初始混淆和加密策略成功帮助攻击者规避了杀毒软件的自动检测。
第一阶段
初始感染载体是一个看似无害的ZIP压缩包,内含多个Python文件,重点关注名为"conf.py"的脚本。该压缩包通过钓鱼活动传播。
混淆与加密
对conf.py文件的分析确认了利用Python部署Anubis后门的多阶段攻击。脚本包含名为WD的解密类,使用带填充的CBC模式AES加密。实现包含标准密码学元素:
- SHA-256哈希
- 初始化向量(IV)管理
- 用于数据处理的Base64编码
conf.py中的load函数实现
load函数揭示了核心执行机制:
- 使用分隔符(_pKo_JX_重复5次)分割混淆字符串
- 提取分隔符处理后的第一段作为加密密钥
- 使用提取的密钥解密剩余段
- 将解密代码写入临时文件
- 调用Python解释器执行该临时文件
- 执行完成后立即删除临时文件
该技术最小化恶意软件在磁盘上的痕迹,增加了检测和取证分析的难度。
有效载荷本身采用多层混淆:
- 字符串分隔符分割有效载荷
- 加密内容的Base64编码
- 实际恶意代码的AES加密
- 使用临时文件留下最少痕迹
FIN7在其操作中采用多层方法,故意结合合法编程技术掩盖恶意意图,增加了恶意软件分析人员的静态分析难度。
FIN7 Python后门分析
对conf.py加载器的初步分析识别出使用Python部署Anubis后门的多阶段攻击。检查混淆和去混淆的有效载荷可以深入了解此后门的功能。
第二阶段:混淆的Anubis后门
第二阶段有效载荷采用双层混淆策略:
- 诱饵类结构:代码初始部分包含多个无意义名称的类定义(llIIlIIIlII, lIllIIIIlIlIIIlllIl等),这些类包含相互循环调用的方法,创建无关代码迷宫
- 视觉混淆命名:整个代码中使用视觉相似字符(’l’, ‘I’)组合变量和函数名,增加分析人员区分标识符的难度
在诱饵类之后,文件过渡到实际后门实现。虽然仍使用混淆变量名,但此部分包含实际后门功能,包括网络通信、命令处理和系统操作能力。
第三阶段:Anubis后门核心功能
去混淆后门的核心功能包括多个组件:
网络通信
- 通过HTTP端口(80/443)自定义C2通信实现
- 在Windows注册表中存储可自定义服务器列表以实现持久化
- 使用自定义字母表替换的Base64编码进行流量混淆
- 在多个C2服务器间循环的服务器故障转移机制
系统访问
- 通过Python的subprocess模块执行命令
- 文件操作(上传、下载、目录遍历)
- 环境变量侦察
- 通过注册表操作实现配置持久化
反分析特性
- 执行基本环境检查
- 无需重新部署的动态配置更新
- 通过内存加载实现无文件执行
- 自报告进程ID和IP地址用于跟踪
命令集和协议分析
Anubis后门实现了简化的命令协议,具有以下功能:
| 命令 | 描述 |
|---|---|
| killexit | 立即终止后门进程 |
| ip | 报告受害者的本地IP地址 |
| cd [path] | 更改当前工作目录 |
| gt [path] | 检索文件或压缩并检索整个目录 |
| up [filename];[data] | 上传文件到指定路径 |
| env:[variable] | 检索指定环境变量的值 |
| env:list | 列出系统上所有环境变量 |
| !cf![encrypted_data] | 使用加密服务器列表更新C2服务器配置 |
| !tcf![encrypted_data] | 测试与加密服务器列表的连接性而不更新 |
| [any other input] | 在受害者系统上作为shell命令执行 |
每个命令响应都带有状态指示符([+]表示成功,[-]表示失败),并使用自定义协议格式化,包括:
- 代理标识符
- 长度元数据
- 实际响应数据
- 使用字母表替换的自定义Base64编码
文件上传功能
Anubis后门具有简化的文件上传机制,允许攻击者向受感染系统提供额外工具和恶意软件。上传功能包括:
- 命令解析:处理"up"命令时,后门通过搜索分号分隔符来解析数据流,分隔目标文件名和文件内容
- 文件写入过程:从命令中提取目标路径,并将二进制内容直接写入磁盘指定位置
- 操作灵活性:上传功能使攻击者能够通过部署自定义工具扩大立足点,通过额外机制建立持久性,或引入更高级的恶意软件
- 错误处理:实现包含全面的错误处理,确保可靠的文件传输,同时向C2服务器提供状态指示符
此功能显著增强了威胁参与者在获得对目标系统的初始访问后调整攻击策略的能力。
持久化机制
后门通过Windows注册表存储其C2配置来维持持久性。配置存储在HKEY_CURRENT_USER\Software\后跟两个随机单词(在此样本中使用"FormidableHandlers",但在不同样本间会变化)。配置仅在成功接收和处理来自C2服务器的配置更新命令(!cf!)后存储。数据使用AES-CBC加密,密钥源自代理ID和受害者计算机名称的组合,使每个感染都唯一且难以在没有特定环境知识的情况下解密。
安全影响
Anubis后门为FIN7提供了一个灵活的、基于Python的远程访问工具,可在Windows环境中运行。其设计展示了FIN7在开发与合法网络流量混合的隐蔽通信渠道方面的持续演进。
多层混淆、加密和模块化命令结构的结合为威胁参与者提供了重要能力,包括:
- 对受感染系统的完全shell访问
- 文件渗出能力
- C2基础设施的动态控制
- 阻碍分析和检测的操作安全特性
IOCs
03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919 96b9f84cc7bf11bdc3ce56c81cca550753790b3021aa70ec63b38d84b0b50f89 e5255d5f476784fcef97f9c41b12665004c1b961e35ad445ed41e0d6dbbc4f8e
IPs / C2s
38[.]134[.]148[.]20 5[.]252[.]177[.]249