概述
8.10日演习相关样本信息
域前置已经成为攻击方隐藏C2的一种常用手法,攻击方通过CDN服务器进行网络通信数据转发从而实现对真实C2的隐藏。最近几日红雨滴云沙箱捕获的攻击样本中就包括利用地方政府域名进行伪装的域前置木马。
部分演习相关样本红雨滴云沙箱报告链接
近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表:
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
Windows Exproler |
041b8a2cf55913a8aeaf23ab6e9cbd8f |
红雨滴云沙箱报告[2] |
域前置木马 |
|
Tasks.rar |
5e54dc0b6f24d0fdbf99b633a5f6560c |
红雨滴云沙箱报告[3] |
压缩包中可执行文件为域前置木马 |
案例:利用政府域名伪装的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnaeBZXCf0-QUp-8q-C |
|
样本文件名 |
Windows Exproler |
|
样本MD5 |
041b8a2cf55913a8aeaf23ab6e9cbd8f |
|
样本类型 |
PE64 Executable for MS Windows (EXE) |
|
样本大小 |
5106842字节 |
|
RAS检测结果 |
neutral-lang |
|
样本基因特征 |
HTTP通信 C&C 探针 检测虚拟机 解压执行 窃密软件 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、文件大小等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。
点击右侧导航栏的静态分析功能,在文件基本信息部分展示了文件图标。可以看到文件以Word图标进行伪装。
沙箱报告的行为异常功能显示样本运行后会释放名为“个人简历.docx”的文档。
查看红雨滴云沙箱主机行为功能的进程信息,可以看到样本释放该文档后会将其打开,此举常被攻击者用来迷惑受害者。
运行截图显示打开的文档带有密码保护。
网络行为显示样本会尝试解析某个地方政府域名(video.youxian.gov.cn),该域名经过CDN加速,发起的HTTPS请求中连接的IP(42.202.218.128)实际为CDN服务器IP之一。
红雨滴云沙箱对HTTPS流量自动解密,因此可以看到HTTP请求的详细Header信息,其中Host字段设置为“search.karesse.com[.]cn”用于CDN转发,Referer字段用”https://www.baidu.com/”进行伪装。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本以Word图标进行伪装,运行后释放诱饵文档迷惑受害者,并采用域前置技术将网络通信数据伪装为连接政府域名的合法流量。
云沙箱关联分析
得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询和关联查询两种查询功能按钮。
通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。
也可以利用沙箱首页的高级搜索功能进行关联,点击首页中的搜索选项卡中的高级搜索按钮。
再选择动态行为domain,填入访问的域名: video.youxian.gov.cn,进行搜索关联,可以发现其他同源的攻击样本。
部分IOC信息
MD5:
041b8a2cf55913a8aeaf23ab6e9cbd8f
5e54dc0b6f24d0fdbf99b633a5f6560c
域名:
video.youxian.gov.cn(正常域名,用于CDN隐藏通信)
关于红雨滴云沙箱
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石。
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[1]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[1]. https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
[2]. https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnaeBZXCf0-QUp-8q-C
[3]. https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnbKZ55Cf0-QUp-8rjL
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:揭秘利用政府域名伪装的域前置木马样本
