Análisis del powershell usado por FIN7

El día 24 de Abril de 2017, Fireeye publicó una entrada en su blog con el título “FIN7 Evolution and the Phishing LNK”. En esta entrada detallan toda la cadena de infección seguida, que se podría resumir en:

  1. El usuario recibe un fichero docx o rtf
  2. Dentro se encuentra una imagen que te invita a hacer click en ella
  3. Al hacer click se abre un fichero de tipo LNK
  4. Este LNK ejecuta mshta.exe con argumentos.
  5. Tras la ejecución se “droppean” dos ficheros vbs y uno ps1.
  6. Uno de los vbs ejecuta el FIN7’s HALFBAKED backdoor y el otro comprueba que está powershell arrancado.
  7. El ps1 según Fireeye es un script con múltiples capas y que lanza un shellcode para un Cobalt Strike stager.

A partir de esta información vamos a analizar en detalle el fichero powershell que se droppea y vamos a intentar entender cómo funciona. El documento del que vamos a partir será (podéis descargarlo desde hybridAnalysis):

 $ sha256sum malware_fin7_hybridAnalysis.rtf
39ab32a4cafb41c05ccecda59ebb0b1fcc6e08fd94ecad0ac80914fb2ad67588  malware_fin7_hybridAnalysis.rtf

[Read more…]