攻击华尔街？FIN4很可能在玩弄市场【非官方中文译文•安天技术公益翻译组译注】

攻击华尔街？FIN4很可能在玩弄市场

非官方中文译文•安天技术公益翻译组 译注

文档信息
原文名称	Hacking the Street? FIN4 Likely  Playing the Market
原文作者	Kristen Dennesen,    Barry Vengerik, Jonathan Wrolstad,    Jordan Berry	原文发布日期	2014年11月30日
作者简介	Kristen Dennesen是火眼公司的高级威胁分析员，她的研究包括地缘政治威胁分析、供应链风险、战略红队，并购网络风险分析、战略信标和预警报告、威胁者能力评估。    http://www.linkedin.com/profile/view?id=18665857&authType=NAME_SEARCH&authToken=n-Yn&locale      Jonathan Wrolstad是火眼公司的威胁情报分析员，其研究方向包括战略规划、计算机安全、网络安全等。    http://www.linkedin.com/pub/jonathan-wrolstad/98/a78/1b
原文发布单位	火眼公司
原文出处	https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-fin4.pdf
译者	安天技术公益翻译组	校对者	安天技术公益翻译组
免责声明	•       本译文译者为安天实验室工程师，本文系出自个人兴趣在业余时间所译，本文原文来自互联网的公共方式，译者力图忠于所获得之电子版本进行翻译，但受翻译水平和技术水平所限，不能完全保证译文完全与原文含义一致，同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。 •       本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。 •       译者与安天实验室均与原作者与原始发布者没有联系，亦未获得相关的版权授权，鉴于译者及安天实验室出于学习参考之目的翻译本文，而无出版、发售译文等任何商业利益意图，因此亦不对任何可能因此导致的版权问题承担责任。 •       本文为安天内部参考文献，主要用于安天实验室内部进行外语和技术学习使用，亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿，不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文，因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为，及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的，基于上述问题产生的法律责任，译者与安天实验室一律不予承担。

FireEye目前正在跟踪一个攻击100多家公司的最高机密信息枢纽的个人邮件帐户的组织。我们称该组织称为FIN4，它似乎很熟悉商业交易和企业通信，及其对金融市场的影响。FIN4至少在2013年年中就开始运作了，旨在攻击掌握并购交易和重要市场动向信息的人士的帐户，特别是医疗和制药行业。FIN4的目标包括高管、法律顾问、外部顾问和研究人员等。

根据对客户网络事件的响应，我们能够总结FIN4的一些行为特征。FIN4企图攻击我们的服务客户端、产品检测数据，以及进一步的自主研发信息。我们对FIN4活动的了解仅限于其网络行动：只能猜测他们如何使用所获取的有价值信息，以及如何由此获利。然而，有一件事情是很清楚的：获取能够决定数十家上市公司股票价格的内部信息肯定会使FIN4获得相当大的交易优势。

主要发现

超过100个目标
自2013年年中，FIN4开始攻击100多个组织。这些组织或者是上市公司，或者是提供诸如投资关系、法律咨询和投资银行业务等服务的咨询公司。约三分之二的目标是医疗和制药公司。	FIN4了解其目标。他们的鱼叉式网络钓鱼邮件似乎是由英语为母语的人士编写，而且熟悉投资术语和上市公司的内部运作。	FIN4不用恶意软件感染受害者，而是侧重于获取受害者电子邮件帐户的用户名和密码，这样就可以查看私人邮件通信了。	FIN4运用自己的知识创建令人信服的网络钓鱼诱饵文件，通常利用电子邮件劫持线程，从其他受害者的电子邮件帐户发送邮件。这些诱饵文件能够吸引投资者和股东，诱使受害人打开武器化的文档，并输入自己的电子邮件凭证。	在多个场景下，FIN4针对商业交易中的多方参与者，包括律师事务所、咨询公司、顾问和参与谈判的上市公司。他们也有相应的机制来组织收集到的数据，并采取措施来规避检测。

FIN4的目标：采用华尔街的技术

FireEye认为FIN4有意攻击拥有即将到来的市场催化剂（指的是导致股票价格在短时间内上涨或下跌的事件）的内幕信息的人士。至少从2013年中期开始，FIN4已经攻击了超过100个组织中的目标，超过三分之二的组织是公共医疗和制药公司。其他目标则是咨询公司，这些咨询公司代表医疗和制药行业的上市公司和其他行业的少数上市公司。除了3个公司（这3个公司是非美国交易所上市的），其余的目标公司都是纽交所或纳斯达克的上市公司。

为了获得有用的内部信息，FIN4攻击了经常就市场动向和非公开事宜通信的人士的电子邮件帐户。

FIN4通常攻击以下目标：

·         C级管理人员和高层领导

·         法律顾问

·         监管、风险和合规性人员

·         研究人员

·         科学家

·         担任其他顾问角色的人士

图1：FIN4的目标

FIN4的医疗目标：各子行业的60多个上市公司

图2：目标医疗和制药行业

FIN4收集并购交易的信息

FIN4侧重于获得正在进行的并购讨论的信息，而且试图识别最有可能涉及的人士。该组织经常采用并购主题和SEC（美国证券交易委员会）主题的文件作为诱饵，向诱饵文件中嵌入VBA宏，旨在窃取关键人士的用户名和密码。此外，FIN4伪造OWA（Outlook WebApp）登陆页面，旨在获取用户的凭证。一旦获得了凭证，FIN4就能够访问实时电子邮件通信，以便了解潜在的交易及时间。

FIN4的许多诱饵文件似乎是窃取的真实交易讨论文件，该组织将其武器化，然后发送给该交易涉及的人士。在某些情况下，这些讨论众所周知，而且被媒体大肆报道；而另一些讨论则仍处于早期探索和调查阶段。在一个案例中，我们发现FIN4同时攻击一个收购讨论涉及的5家不同公司。在收购谈判的几个月前，该组织就开始攻击这5家公司的人员了。

重点目标是医疗和制药业

我们认为FIN4重点攻击医疗和制药公司，这是因为这些行业的股票价格会随着临床试验结果、监管决策，或安全和法律问题而大幅变动。事实上，许多知名的内部交易案件涉及医药行业。我们已经发现了FIN4对各种问题的信息获取，包括药物开发、医保报销率、悬而未决的法律案件，所有这一切都会显著影响医疗行业股票的价格。

在一个案例中，FIN4攻击医疗退税和政府采购流程（这些问题都能够严重影响股价）所涉及的员工。医疗和制药公司严重依赖于大型第三方（如医疗补助机构，其购买力和退税决策能够决定公司的盈利）的决策。FIN4可能会利用这些信息来评估医疗公司的未来收入。

FIN4的行动代码说明： 他们对能够在信息公开前获取市场动向信息的组织和人士最感兴趣

高度的组织性

FIN4利用超过70个独特的“行动代码”来标识其目标人士所在的组织，或在某些情况下，用这些代码来标识目标人士在组织内的角色。

例如：

• 
  

  • CEO_CFO_COO_CORPDEV
  • SCIENTISTS_AND_RESEARCH
  • < PHARMACEUTICAL COMPANYNAME>
    
    
    • <ADVISORY FIRM NAME>
      
      
    
    

• 
  
  
  

FIN4用这些行动代码来标识窃取的用户名和密码的来源。这些行动代码和窃取的凭证被发送到FIN4的C2服务器。

图 3：FIN4行动代码示例

FIN4的战术：照顾生意

图 4：FIN4发给一位高管的网络钓鱼邮件

确定目标后，FIN4通常在窃取的Office文档中嵌入VBA宏。嵌入的宏显示一个模仿Windows身份验证提示的对话框，让用户输入自己的凭证。这些凭证被发送至该组织控制的服务器，这样，FIN4就能够劫持该用户的电子邮件帐户了。FIN4也会发送高度定制的电子邮件，包括收件人了解的事情或感兴趣的未决交易。在一些情况下，FIN4会在网络钓鱼邮件中附上伪造的OWA登录页面链接（图4）。对于Microsoft Office禁用VBA宏的组织来说，这种方法是很有用的。

FIN4的社会工程方法

FIN4了解他们的目标。其鱼叉式网络钓鱼邮件似乎由英语为母语的人士编写，而且熟悉投资术语和上市公司的内部运作。FIN4的钓鱼邮件经常涉及股东和公众披露的问题。

图4显示了该组织大力针对非法公众披露的问题，特别是在行政无能和补偿问题。FIN4劫持的一家上市公司的邮件帐户的邮件中就包含了若干关键词：“有关未决交易的机密信息”的“披露”。这些是上市公司的关键问题，它们严格监管敏感商业信息的泄露。

图5：一般FIN4诱饵文件

虽然FIN4的很多诱饵文件是以前窃取的机密公司文件，但是该组织偶尔也使用投资界感兴趣的一般诱饵文件（图5）。

FIN4还利用受害者收件箱中现有的电子邮件线程来传播其武器化的文档。我们发现攻击者无缝注入电子邮件线程中。用户难以区分先前被攻击的电子邮件帐户发送的FIN4电子邮件和合法邮件。攻击者还会抄送给所有收件人，使收件人更难区分恶意电子邮件。

隐蔽性

在一些调查中， FIN4针对商业交易所涉及的各方参与者，包括律师事务所、咨询公司和上市公司。在一个案例中，FIN4利用一家咨询公司（“咨询公司A”）的电子邮件帐户，收集咨询公司A的客户（“上市公司A”）的潜在收购的数据。

FIN4从被感染的咨询公司A的邮件帐户向另一家咨询公司（“咨询公司B”，该公司也代表上市公司A）发送鱼叉式网络钓鱼电子邮件。FIN4使用SEC（美国证券交易委员会）备案文件作为诱饵。可能的收购消息被公布后，上市公司A的股票价格就会显著波动。FIN4很可能利用内部信息在股价波动中获利。

图 6：过滤邮件的Outlook规则

规避检测

FIN4在受害者的MicrosoftOutlook帐户中创建了一条规则，能够自动删除任何包含诸如“黑客攻击”、“网络钓鱼”、“恶意软件”等（图6）关键字的电子邮件。该组织很可能利用这些规则防止受害者从预期目标接收关于其电子邮件帐户被攻击的回复，而且也能在受害组织检测到恶意活动之前为FIN4赢得时间。

结论

如果FIN4的活动确实是一项旨在获取市场动态信息的长期活动的一部分，那么这就不是网络入侵第一次在内幕交易案中发挥作用了。然而，FIN4的行动规模、超过100家上市公司的目标，以及攻击关键人士的电子邮件的战术，使得该组织异常引人注意。

我们对FIN4的了解仅限于网络行动，所以我们不能肯定获得内幕信息后发生了什么情况。我们可以说的是，FIN4的网络活动必须获得足够的利益，使这些行动值得持续一年多。事实上，当我们完成该报告时，FIN4仍然在不断地攻击新的受害者。

附录：战术

FIN4采用了简单而有效的方法，通过鱼叉式网络钓鱼电子邮件来收集用户凭证。他们利用VBA宏向现有的和合法公司文件嵌入恶意代码，向每一个Microsoft Word或Excel文档嵌入恶意宏，提示用户输入他们的Outlook凭证。我们也发现该组织在邮件中附上伪造的OWA登录页面，旨在窃取用户的凭证，但最近的几个月我们没有发现这种战术。

在合法文档中嵌入VBA宏

嵌入的VBA宏由一个典型的 “Module1”模块和被称“UserForm1”和“UserLoginForm”的用户窗口。Module1中的代码包含与C2服务器进行通信所需的信息（图7）。

图 7：用于最近攻击活动的“Module1”示例

图8：“UserForm1“及其代码示例

用户窗口包含用户凭证提示的代码和高度指示攻击目标的行动代码。行动代码通常针对特定的目标公司或其他相关公司定制；而行动代码可能代表目标人士的角色，例如SCIENTISTS_AND_RESEARCH 或CEO_CFO_COO_CORPDEV。目前为止，我们已经确定了超过70个独特的行动代码。行动代码连同受害者的用户名和密码被发送到C2服务器，如图8所示。

VBA宏打开的许多伪造Outlook窗口包含目标公司的徽标，以便显得合法。下面的图9代表了一般的弹出窗口，没有公司的具体信息。只有在输入凭证后，文档才会予以显示。

图 9：提示输入用户凭据的恶意对话框

图10：包含用户凭证的POST请求

网络和基础设施

用户在用户名和密码字段输入数据之后，该数据就会通过POST请求（图10）发送到C2服务器。然后，FIN4收集到的凭证登陆受害者的电子邮件帐户。除了获得受害人的私人通信，FIN4还利用这个被感染的帐户向公司内外的其他目标发送恶意文件。该报告发布时，该组织仍然活跃，最近使用域名junomaat81[.]us和lifehealthsanfrancisco2015[.]com作为C2。

FIN4似乎严重依赖于Tor软件（Tor能够加密互联网流量，并通过服务器世界各地的服务器进行路由，从而确保用户匿名浏览互联网），我们发现攻击者获取用户凭证后使用Tor登录受害者的电子邮件帐户。我们至少发现了攻击者所使用的两个用户代理，当用户代理与始发Tor IP地址配对后，可以用于识别网络日志中的潜在可疑OWA活动。

图11：FIN4用户代理

攻击者注册的C2域名
ellismikepage[.]info	lifehealthsanfrancisco2015[.]com
rpgallerynow[.]info	dmforever[.]biz
msoutexchange[.]us	junomaat81[.]us
outlookscansafe[.]net	nickgoodsite.co[.]uk
outlookexchange[.]net

我们已经确定了攻击者所注册的9个C2域名。2013年年底和2014年年初的一些活动貌似使用了一些被感染的合法域名。然而，在最近的几个月中，我们还没有发现攻击者使用被感染合法域名的迹象。

网络防御者可以做什么？

FIN4的战术相对简单（鱼叉式网络钓鱼、窃取有效凭证、不在目标机器上安装恶意软件），使得他们的入侵活动难以察觉。但是一些基本的安全措施可以帮助防御攻击。默认Microsoft Office禁用VBA宏和阻断表1中列出的域名将有助于防止FIN4的活动。此外，对OWA和任何其他远程访问机制采用双因素认证可以防止攻击者成功利用被窃取的凭证。如果怀疑遭受了攻击，企业还可以检查其网络日志，即已知Tor出口节点的OWA登录。通常情况下，合法用户不使用Tor来访问电子邮件。虽然没有定论，如果与该组织的已知目标相匹配，Tor出口节点的访问可以作为该组织非法登录的一个信标。

英文原文报告下载： Hacking the Street - FIN4 Likely Playing the Market.pdf (5.55 MB, 下载次数: 52)

2015-7-24 13:30 上传

点击文件名下载附件

安天公益翻译（非官方中文译本）： 攻击华尔街？FIN4很可能在玩弄市场[非官方中文译文&amp;#8226;安天技术公益翻译组译注].pdf (1.73 MB, 下载次数: 49)

2015-12-14 13:57 上传

点击文件名下载附件