2018年8月1日，美国华盛顿西区地方检察官办公室发布了一份起诉书，并宣布逮捕了一个网络犯罪组织领导层中的三名犯罪嫌疑人，这个团伙就是臭名昭著的FIN7，FireEye自从2015年就开始追踪该组织了。

FIN7组织介绍

FIN7是一个庞大的网络犯罪集团，从2013年起，他们攻击银行，各大公司的电子支付系统以及那些不幸安装了他们的恶意软件的金融机构。

在2015年后期开始变得活跃，到了2017年初，它的犯罪活动达到顶峰，短短几年间，成功渗透了40个国家和地区的100多家金融机构，他们攻击造成的损失，规模之大，令人触目惊心。每次发动攻击，犯罪份子都能偷走高达上千万欧元！可以肯定，FIN7是近十年来对金融机构威胁最大的组织。截至目前的统计，他们已经精心策划了针对100多个金融组织的攻击，总共造成的金融业损失竟高达10亿欧元。

FIN7是一个高度专业，有严密组织的网络犯罪集团。研究人员发现，他们类似公司化运作，有着严谨的上下班时间，晚上和周末他们也会像常人一样下班。

他们背后似乎有着自己独立的研究和开发团队，开发着他们自己使用的各种恶意软件和网络攻击方法。因为都是自己开发的恶意软件自己用，因此杀毒软件公司通常都要等他们的软件传播开后才有所反应，而那时已经晚了。

他们分工明确，有不同的部门，有的专门针对各种高级酒店或者高级商场（在这些地方消费的人都比较有钱，信用卡额度比较高，信用卡信息比较有价值），有的直接针对各种银行和金融机构。

2013年，Fin7利用木马软件Carberp和Anunak率先攻击了许多金融机构。随后又盗取了其他很多机构的信用卡信息。

在很长一段时间内，因为不清楚这些网络攻击的来源和组织，网络安全专家曾经认为这些都是一起独立的案件。直到后来，研究人员发现恶意软件的蛛丝马迹，它们都有相同的特征，这才意识到，原来这很多都是同一伙人做的，最终，给他们起名FIN7 （这原本是指专盗商店和酒店业的信用卡的那伙黑客集团）。

尽管目前有许多机构将FIN7又称为Carbanak组织，但FireEye认为这种称呼显然不对。之所以又被称为Carbanak组织，原因是因为该组织在攻击中大量使用了Carbanak后门，Carbanak后门是基于插件化的架构进行开发的，功能完备且具备数据窃取能力。但FireEye认为，FIN7在攻击中还使用了其他技术和后门，因此Carbanak组织显然太过片面。

本文FireEye就对FIN7的犯罪活动范围、恶意攻击技术的创新能力、采用的独特的社会工程方法，以及他们最近的活动进行了一次完整的梳理。本文还提供了FIN7攻击的技术环境、历史攻击样本和各种技术性能指标，以方便金融组织可以使用这些指标来检测可能存在的FIN7攻击。

FIN7的犯罪活动过程

FIN7的特点是他们一旦找到攻击目标，就会持续耐心的进行渗透、攻击从而控制机构的支付卡系统，在将里面的资金盗窃后，他们还会通过将偷来的钱兑换成加密货币（如比特币之类），从而让执法机构无法追查。整个过程分工明确，耗时耗力，不过一旦成功，收获也颇丰。而随着FIN7组织的成熟和发展，FIN7不仅限于对信用卡数据盗窃。在某些情况下，当他们遇到无法从使用端到端加密(E2EE)或点对点加密(P2PE)保护的POS系统获取银行卡数据时，就会直接掉头攻击该POS系统所在机构的财务部门。

此外，在2017年4月，FireEye就曾报告说，FIN7向多名美国证券交易委员会(SEC)相关人员发送了鱼叉式钓鱼邮件，通过这些目标攻击者，FIN7就可以窃取许多股票交易中的重要且非公开的信息。

由于FIN7多样化的攻击策略和技术，目前只要是与金融业务相关的机构，都逃不过他们的魔掌，这样他们的攻击就不仅仅是那些只与支付卡行业相关的机构了。根据目前FireEye对美国和欧洲的统计，以下目标就是FIN7所涉及的全部攻击范围：

· 餐厅

· 旅行社

· 教育机构

· 赌场和游戏场所

· 施工机构

· 能源机构

· 零售机构

· 金融机构

· 电信机构

· 高科技行业

· 政府部门

· 软件业

· 商业服务机构

FIN7不断改进和创新的攻击技术

在FireEye跟踪FIN7攻击活动的过程中，攻击者一直试图让自己的攻击技术走在时代最前沿，以防止被发现，其创新策略包括，使用最新的攻击策略和逃避机制，让整个攻击过程的步骤变得复杂化，以防止被识别出来。例如，在2017年4月，FireEye发现了FIN7所用的鱼叉式钓鱼邮件，这些邮件利用隐藏的快捷方式文件(LNK文件)来启动攻击过程，并通过mshta.exe启动VBScript功能来感染受害者。这直接绕过了对武器化的office宏的使用，以逃避安全检测。

FireEye之前还报道了FIN7使用CARBANAK后门作为后期开发工具，以加强对其网络攻击的力度，保持对受害者环境的访问能力。Carbanak自2013年首次出现以来，共从40多个国家100多个银行当中窃取资金12亿美元。FIN7从2015年末也开始使用CARBANAK后门，FIN7对CARBANAK的使用尤其值得注意，因为他们使用了创造性的持久性机制来启动后门。CARBANAK组织利用了一个应用程序shim数据库，该数据库将恶意的内存补丁注入到服务控制管理器(Services .exe)进程中，然后生成一个CARBANAK后门进程，FIN7还使用这种策略来安装一个支付卡收集实用程序。

FIN7的另一个显著特征是他们大量使用数字证书，不出所料，恶意攻击者试图利用这些证书提供的合法性签名，通过对其钓鱼文档、后门程序和后期工具进行数字签名，这样，FIN7就能够绕过许多安全控制，这些控制可能会限制Office文档中宏的执行，并限制在受信任系统上执行未签名的二进制文件。

FIN7代码签名证书样本

在出现了新的防御机制后，FIN7又迅速开发了对应的反检测技巧。在整个2017年，研究人员观察到了多次FIN7创建的新的混淆方法，而且在某些情况下，每天都会修改反检测方法，以便同时发起针对多个受害者的攻击。FIN7组织还会定期对公共存储库里的恶意DOC、DOCX和RTF钓鱼文档进行测试，以检查静态检测引擎覆盖范围。攻击者使用Windows命令解释器(cmd.exe)本地字符串（native string）替换具有有效载荷的混淆样本，这种替换非常独特，以至于FireEye专门将其命名为“FINcoding”过程。这些方法激发了研究人员对命令行模糊化处理的深入研究和Daniel Bohannon对Invoke-DOSfuscation的研究。

FIN7采用的社会工程方法

在三年的追踪分析过程中，FireEye对FIN7采用的各种攻击手段都做出了预防措施，不过其中最难防的还是FIN7采用的社会工程方法。从利用web表单进行初次接触，到直接与预先确定的目标管理人员进行定位和接触，恶意攻击者展示了一系列社会工程方法，FIN7的影响范围超出了他们的目标计算机系统，因为FIN7在提交带有恶意文件的数字投诉之前以及在发送网络钓鱼文件之后提醒受害者打开，都采用了一种原始但有效的电子邮件传递跟踪技术。

随着FIN7的成熟，其钓鱼模板的质量也在不断提高，这些钓鱼模板通常会伪装成个人和企业发送的文件，有时也冒充来自合法政府机构的文件。这些网络钓鱼的邮件经常会根据攻击目标量身定做，且文件主题都会采用比较紧急、重要的话题来催促受害者打开。在针对在个别小型商店的财务部门攻击中，经理们经常会收到一封所谓的“物品收据”审查单，其他FIN7网络钓鱼电子邮件则会伪装成详细的餐饮订单或为有饮食限制的个人定制的特殊菜单。

在2017年初，出现了一系列伪装成投诉模式的钓鱼模板，该模板其实就是一个恶意附件，专门针对饮食行业，这个攻击模式大概持续了一年多。该模式在FireEye内部称为“findigest”，这种伪装成投诉的钓鱼攻击模式，最终还演化成了代表政府，要求受害者进行阅读的地步。

FDA主题钓鱼电子邮件

值得注意的是，由Proofpoint于2017年7月首次识别出的BATELEUR后门活动(而FireEye跟怀疑是FIN7的一个分支机构干的)，为了使钓鱼攻击看起来更加真实，使用了高度自定义的图标，这个图标通常是在Adobe Photoshop中创建的。在同样的钓鱼活动中，FIN7的恶意附件也使用了同样的图标。

FDA主题钓鱼电子邮件