揭秘Anubis:探索FIN7最新后门的隐匿战术
在高级持续性威胁(APT)不断演变的 landscape 中,著名的金融网络犯罪组织FIN7为其武器库新增了一个复杂工具。我们最近发现了一个基于Python的新型后门"AnubisBackdoor"正被部署于其最新活动中。
初始检测覆盖范围
在VirusTotal首次出现时,相关文件(conf.py和backdoor.py)的检测数量较低。这表明初始的混淆和加密策略成功帮助威胁行为者避免了杀毒软件厂商的自动检测。
第一阶段
初始感染载体涉及一个看似无害的ZIP压缩包,内含多个Python文件,特别关注名为"conf.py"的脚本。该压缩包通过网络钓鱼活动传播。
混淆与加密
对conf.py文件的分析确认了利用Python部署Anubis后门的多阶段攻击。脚本包含名为WD的解密类,使用带填充的CBC模式AES加密。实现包含标准密码学元素:
- SHA-256哈希
- 初始化向量(IV)管理
- 用于数据处理的Base64编码
load函数揭示了核心执行机制:
- 使用分隔符(_pKo_JX_重复5次)分割混淆字符串
- 提取分隔符处理后的第一个段作为加密密钥
- 使用提取的密钥解密剩余段
- 将解密代码写入临时文件
- 调用Python解释器执行该临时文件
- 执行后立即删除临时文件
该技术最小化恶意软件在磁盘上的足迹,增加了检测和取证分析的难度。
FIN7 Python后门分析
对conf.py加载器的初步分析识别出使用Python部署Anubis后门的多阶段攻击。检查混淆和去混淆的有效载荷可深入了解此后门的能力。
第二阶段:混淆的Anubis后门
第二阶段有效载荷采用双层混淆策略:
- 诱饵类结构:代码初始部分包含多个无意义名称的类定义(llIIlIIIlII, lIllIIIIlIlIIIlllIl等),这些类包含相互循环调用的方法,创建了无关代码的迷宫
- 视觉混淆命名:整个代码中使用视觉相似字符('l', 'I')组合变量和函数名称,使分析人员难以区分标识符
在诱饵类之后,文件过渡到实际的后门实现。虽然仍使用混淆变量名,但此部分包含实际的网络通信、命令处理和系统操作功能。
第三阶段:Anubis后门核心功能
去混淆后门的核心功能包括多个组件:
网络通信
- 通过HTTP端口(80/443)自定义C2通信实现
- 在Windows注册表中存储可自定义服务器列表以实现持久化
- 使用自定义字母表替换的Base64编码进行流量混淆
- 在多C2服务器间循环的服务器故障转移机制
系统访问
- 通过Python的subprocess模块执行命令
- 文件操作(上传、下载、目录遍历)
- 环境变量侦察
- 通过注册表操作实现配置持久化
反分析特性
- 执行基本环境检查
- 无需重新部署的动态配置更新
- 通过内存加载实现无文件执行
- 自报告进程ID和IP地址用于跟踪
命令集和协议分析
Anubis后门实现了简化的命令协议,具有以下功能:
| 命令 | 描述 |
|---|---|
| killexit | 立即终止后门进程 |
| ip | 报告受害者的本地IP地址 |
| cd [path] | 更改当前工作目录 |
| gt [path] | 检索文件或压缩并检索整个目录 |
| up [filename];[data] | 上传文件到指定路径 |
| env:[variable] | 检索指定环境变量的值 |
| env:list | 列出系统上所有环境变量 |
| !cf![encrypted_data] | 使用加密服务器列表更新C2服务器配置 |
| !tcf![encrypted_data] | 测试与加密服务器列表的连接性而不更新 |
| [any other input] | 在受害者系统上作为shell命令执行 |
每个命令响应都带有状态指示符([+]表示成功,[-]表示失败),并使用自定义协议格式化,包括代理标识符、长度元数据和实际响应数据。
文件上传功能
Anubis后门具有简化的文件上传机制,允许攻击者向受感染系统提供其他工具和恶意软件。上传功能包括:
- 命令解析:处理"up"命令时,后门通过搜索分号分隔符来解析数据流,分隔目标文件名和文件内容
- 文件写入过程:代码从命令中提取目标路径,并将二进制内容直接写入磁盘指定位置
- 操作灵活性:上传功能使攻击者能够通过部署自定义工具扩大立足点,通过其他机制建立持久性,或引入更高级的恶意软件
- 错误处理:实现包含全面的错误处理,确保可靠的文件传输,同时向C2服务器提供状态指示符
持久化机制
后门通过Windows注册表存储其C2配置来维持持久性。配置存储在HKEY_CURRENT_USER\Software\后跟两个随机单词下(在此样本中使用"FormidableHandlers",但不同样本间会变化)。配置仅在成功接收和处理来自C2服务器的配置更新命令(!cf!)后存储。数据使用AES-CBC加密,密钥源自代理ID和受害者计算机名称的组合,使得每个感染都是唯一的,在没有特定环境知识的情况下难以解密。
安全影响
Anubis后门为FIN7提供了一个灵活的、基于Python的远程访问工具,可在Windows环境中运行。其设计展示了FIN7在发展隐蔽通信渠道方面的持续演进,这些渠道与合法网络流量融为一体。
多层混淆、加密和模块化命令结构的结合为威胁行为者提供了重要能力,包括:
- 对受感染系统的完整shell访问
- 文件外泄能力
- C2基础设施的动态控制
- 阻碍分析和检测的操作安全特性
IOCs
03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919 96b9f84cc7bf11bdc3ce56c81cca550753790b3021aa70ec63b38d84b0b50f89 e5255d5f476784fcef97f9c41b12665004c1b961e35ad445ed41e0d6dbbc4f8e
IPs / C2s
38[.]134[.]148[.]20 5[.]252[.]177[.]249
