在攻防演练中使用在线云沙箱打捞0day等高价值情报

也算是第一次全程参与这个级别的项目，学到了挺多东西，也趁着摸鱼总结了一点点东西，后面回来后发散性地思考了一下，分享出来，希望对各位师傅们有所帮助。

在线云沙箱

在线云沙箱产品，即在线的恶意软件分析平台，这里借用微步对其的介绍。

与传统的反恶意软件检测不同，微步云沙箱提供完整的多维检测服务，通过模拟文件执行环境来分析和收集文件的静态和动态行为数据，结合微步威胁情报云，分钟级发现未知威胁。

简单来说，你遇到的任何可疑的文件都可以丢上去，然后根据检测的结果判断安全性，当然这里的安全性只是一般意义上的，相信很多红队的师傅可以制作出0报毒的恶意样本，因此这里沙箱报毒的安全性只是相对的，这并不是说明某个产品功能不够之类的，而是一个合格的产品一定是成本和收益的平衡。

2.编写免杀马的时候定位特征马

3.蓝队发现了可疑的文件要快速进行排查

4.GitHub等公开平台发现了一个漏洞利用工具，使用前要进行查杀

而在进行攻防演练的特殊时期，由于红蓝双方身份的不确定性以及钓鱼等社工手法的大规模运用，公开平台及小圈子里流传的各种文件的可疑程度大大增加，这无疑增加了对于在线云沙箱的检测需求，任何文件都可能被提交至在线沙箱平台进行检测，这使得从其中打捞出高价值情报成为可能。

微步在线云沙箱：https://s.threatbook.cn
360安全大脑沙箱云：https://ata.360.net/public

截止至目前，许多安全公司都建立起了威胁情报平台，由于在线云沙箱所检测的恶意样本能直接分析出相关的恶意情报，因此在线云沙箱通常与相关的威胁情报平台同步出现，当然也有类似腾讯哈勃分析系统、大圣云沙箱检测系统、魔盾安全分析这种专职恶意样本检测的单一产品，不过目前此次攻防演练中，我仅使用了微步和360的两款在线云沙箱平台。

这两款沙箱产品均支持展示近期上传检测的各类样本，并提供下载功能，其中360安全大脑沙箱平台的下载需要进行付费，而且360的样本进行其他完善的检测还需要付费。。。

利用在线云沙箱打捞0day等高价值情报

样本打捞的主要流程

现有的沙箱产品在对样本进行检测后的结果展示，一般包括如下方面，这里主要以微步在线云沙箱上的某一恶意样本为例，SHA256值为e5d6a0e08442a9d8658f94c7015e7d6c50921342fa8e6b2807301b4db1513a16

1. 样本的主要信息
    1. 样本的文件大小，一般在线云沙箱均限制了可供上传的恶意样本文件大小，微步在线云沙箱的限制为不大于50Mb
    2. 样本的文件类型，一般来说文件类型在进行样本检测时会提供可选，但是实际检测时在线沙箱一般会检测其文件头进行更加精准的判断
     3. 样本检测的报毒情况
   4. 样本的主要HASH值，一般包括MD5、SHA1和SHA256的值，其中各类在线云沙箱产品基本以SHA256作为样本的唯一特征值，可以使用该值进行样本的检索，还有平台会提供SSDEEP的值作为辅助判断的值，比如安恒在线云沙盒。

2. 与该样本关联的情报IOC
3. 行为检测结果
4. 多种杀毒引擎的检测结果
5. 静态分析
    1. 基础信息
    2. 元数据
    3. 格式深度分析，如果是压缩文件，一般会进行解压后进一步分析解压出的文件，一般只能解压默认密码，或者其能自动识别的密码，例如微步就可解压密码为threatbook的压缩文件（threatbook也是微步在线云沙箱下载样本的压缩包的解压密码）
6. 动态检测，这里一般都支持选择不同的环境进行运行，例如win7、win10、linux等平台，当然有些在线云沙箱平台使用非默认的环境需要额外收费，这种情况下换个平台就好了，大家检测能力都差不多，不存在一定要指定某个平台的说法

    1. 处置建议
    2. 执行流程
    3. 进程详情
    4. 运行截图
    5. 网络行为
    6. 释放文件

当然本文章的目的并不是教你去分析一个真正的恶意样本，而是快速过滤和筛选出具有高价值情报的样本
1. 初步筛选，微步只提供样本的一览，对样本的筛选比较麻烦且玄学，360沙箱云则提供样本类型的筛选，且比较简单易用

为例，该样本为docx文件
    1. 该样本仅启动winword.exe进程，无其他进程启动
    2. 查看运行截图发现高价值情报
    3. 网络行为分析中无任何外联请求产生

3.如果样本是压缩文件，则判断以静态分析中的文件深度检测为主，以高价值样本b19274e0c85dfd219e4f4829cfa218b07eecc7bd7d6f4b28d979dbe50fecd5d7为例子
    1. 解压后释放5份子文件，且格式均为txt，文件风险较低
    2. 文件名中出现疑似高价值情报特征

样本打捞的一些要点

1. 样本的病毒性检测仅作参考，无法确定某个文件一定不存在病毒，由于在线云沙箱平台是一个面向所有用户的，因此该平台也能成为钓鱼的潜在攻击面，建议下载后的样本应迅速转移至断网的虚拟机中进行查看
2. 不要头铁在一个平台上下载样本，特别是某些收费的平台，可疑使用SHA256作为值前往其他在线云沙箱平台进行文件检索，因为收费是真的贵
3. 需要平衡花费的精力和收益，从无数样本中发现含有高价值情报的样本是一个非常枯燥的过程，同时样本的展出一般都会限制最近多少份，且不会提供完善的文件检索过滤，会消耗非常多的精力和信心，同时高价值情报的样本出现本身就是不确定性的，推荐在比较大型的攻防演练中使用
4. 耐心，很多高价值样本的筛选都需要你点入具体的详情页后进行查看，需要查看的样本数量会非常多，很消磨耐心，但是比起你去找大佬要相关的情报去欠人情，我认为这种自己打捞是比较经济的选择
5. 你所获得的情报需要进行多方验证，所有的情报都需要经过至少两份以上的验证后才具有一定的可信度，不要像这次谣传的Nginx和Log4j的0day一样

本次演练期间我所发现的一些高价值样本

光说不练假把式，都说了这么多了，就分享给大家我打捞的一些高价值的样本吧

• b19274e0c85dfd219e4f4829cfa218b07eecc7bd7d6f4b28d979dbe50fecd5d7

• 408de3c08a5088c87057f724d323b7b1ff6222bf8d426a525913a09321998b28

• 748318ec4ae86f7e05005c43aa882d2b36eb763d578cfb8ae7f5b9650e812599

• f4cf5994fcdfcf8887ed3f05cc92a5fa6319a01aba03eb9112c3ad1befd72a3c

• 126c075e02d5d6ae4de8ffd49f7ff3ba3e3755a64a21f828775598f025f2e411

• 6b75e757d6ed998a812327a57f069d566291e936c5b7265f3595f06e850a5a84

• 3f52b8b6bfc41b00296c76045d7c2afa126f4fdb41b91d1c4f1995cc9bc2134e

• 5d9242dd44df6ec2c7928e34383e3adc2afadb40fba59e248680eba766e75bb0

• 8089bbc7a2e2d0d6027f6373814ae1e14da4385f70a1aa853f2f2b282e78d0f2

• 28b1fce5ae26bbfcbab4728e7925569a647b551cfa6ad19f52a006c72bcd65a8

原文始发于微信公众号（Poker安全）：在攻防演练中使用在线云沙箱打捞0day等高价值情报