揭秘 Anubis：探索 FIN7 最新后门的隐匿战术

在高级持续性威胁（APT）不断演变的 landscape 中，著名的金融网络犯罪组织 FIN7 为其武器库新增了一个复杂工具。我们最近发现了一个基于 Python 的新型后门"AnubisBackdoor"正被部署于其最新活动中。

初始检测覆盖范围

在 VirusTotal 首次出现时，相关文件（conf.py 和 backdoor.py）的检测数量较低。这表明初始的混淆和加密策略成功帮助威胁行为者避免了杀毒软件厂商的自动检测。

第一阶段

初始感染载体涉及一个看似无害的 ZIP 压缩包，内含多个 Python 文件，特别关注名为"conf.py"的脚本。该压缩包通过网络钓鱼活动传播。

混淆与加密

对 conf.py 文件的分析确认了利用 Python 部署 Anubis 后门的多阶段攻击。脚本包含名为 WD 的解密类，使用带填充的 CBC 模式 AES 加密。实现包含标准密码学元素：

• SHA-256 哈希

• 初始化向量（IV）管理

• 用于数据处理的 Base64 编码

load 函数揭示了核心执行机制：

• 使用分隔符（_pKo_JX_重复 5 次）分割混淆字符串

• 提取分隔符处理后的第一个段作为加密密钥

• 使用提取的密钥解密剩余段

• 将解密代码写入临时文件

• 调用 Python 解释器执行该临时文件

• 执行后立即删除临时文件

该技术最小化恶意软件在磁盘上的足迹，增加了检测和取证分析的难度。

FIN7 Python 后门分析

对 conf.py 加载器的初步分析识别出使用 Python 部署 Anubis 后门的多阶段攻击。检查混淆和去混淆的有效载荷可深入了解此后门的能力。

第二阶段：混淆的 Anubis 后门

第二阶段有效载荷采用双层混淆策略：

• 诱饵类结构：代码初始部分包含多个无意义名称的类定义（llIIlIIIlII, lIllIIIIlIlIIIlllIl 等），这些类包含相互循环调用的方法，创建了无关代码的迷宫

• 视觉混淆命名：整个代码中使用视觉相似字符（'l', 'I'）组合变量和函数名称，使分析人员难以区分标识符

在诱饵类之后，文件过渡到实际的后门实现。虽然仍使用混淆变量名，但此部分包含实际的网络通信、命令处理和系统操作功能。

第三阶段：Anubis 后门核心功能

去混淆后门的核心功能包括多个组件：

网络通信

• 通过 HTTP 端口（80/443）自定义 C2 通信实现

• 在 Windows 注册表中存储可自定义服务器列表以实现持久化

• 使用自定义字母表替换的 Base64 编码进行流量混淆

• 在多 C2 服务器间循环的服务器故障转移机制

系统访问

• 通过 Python 的 subprocess 模块执行命令

• 文件操作（上传、下载、目录遍历）

• 环境变量侦察

• 通过注册表操作实现配置持久化

反分析特性

• 执行基本环境检查

• 无需重新部署的动态配置更新

• 通过内存加载实现无文件执行

• 自报告进程 ID 和 IP 地址用于跟踪

命令集和协议分析

Anubis 后门实现了简化的命令协议，具有以下功能：

每个命令响应都带有状态指示符（[+]表示成功，[-]表示失败），并使用自定义协议格式化，包括代理标识符、长度元数据和实际响应数据。

文件上传功能

Anubis 后门具有简化的文件上传机制，允许攻击者向受感染系统提供其他工具和恶意软件。上传功能包括：

• 命令解析：处理"up"命令时，后门通过搜索分号分隔符来解析数据流，分隔目标文件名和文件内容

• 文件写入过程：代码从命令中提取目标路径，并将二进制内容直接写入磁盘指定位置

• 操作灵活性：上传功能使攻击者能够通过部署自定义工具扩大立足点，通过其他机制建立持久性，或引入更高级的恶意软件

• 错误处理：实现包含全面的错误处理，确保可靠的文件传输，同时向 C2 服务器提供状态指示符

持久化机制

后门通过 Windows 注册表存储其 C2 配置来维持持久性。配置存储在 HKEY_CURRENT_USER\Software\后跟两个随机单词下（在此样本中使用"FormidableHandlers"，但不同样本间会变化）。配置仅在成功接收和处理来自 C2 服务器的配置更新命令（!cf!）后存储。数据使用 AES-CBC 加密，密钥源自代理 ID 和受害者计算机名称的组合，使得每个感染都是唯一的，在没有特定环境知识的情况下难以解密。

安全影响

Anubis 后门为 FIN7 提供了一个灵活的、基于 Python 的远程访问工具，可在 Windows 环境中运行。其设计展示了 FIN7 在发展隐蔽通信渠道方面的持续演进，这些渠道与合法网络流量融为一体。

多层混淆、加密和模块化命令结构的结合为威胁行为者提供了重要能力，包括：

• 对受感染系统的完整 shell 访问

• 文件外泄能力

• C2 基础设施的动态控制

• 阻碍分析和检测的操作安全特性

IOCs

03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad891996b9f84cc7bf11bdc3ce56c81cca550753790b3021aa70ec63b38d84b0b50f89e5255d5f476784fcef97f9c41b12665004c1b961e35ad445ed41e0d6dbbc4f8e

IPs / C2s

38[.]134[.]148[.]205[.]252[.]177[.]249 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手