概述
8.11日演习相关样本信息
近期捕获的攻击样本最明显的特征是均使用域前置来隐藏攻击者C2,并且借助带有国内安全厂商名称的CDN域名转发通信数据,更有甚者,使用带有安全厂商签名的木马进行攻击,尽管签名已经失效,但这不妨碍对受害者的迷惑,以及对某些杀软的欺骗。
红雨滴云沙箱捕获的与演习相关的恶意样本包括:“关于调整***基层干部员工2023年7月份绩效考核结果的通知.7z”,“关于**科技股份有限公司人事任免的通知.exe”、“**-26岁-17届浙江工商大学(全日制本科)-保险学专业.piz”等。
部分演习相关样本红雨滴云沙箱报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z |
11ac373022d6297ea1f367d8980dc4bd |
红雨滴云沙箱报告[2] |
域前置木马 |
|
关于**科技股份有限公司人事任免的通知.exe |
08fa017f9610c0912021d9f4463487aa |
红雨滴云沙箱报告[3] |
域前置木马 |
|
**-26岁-17届浙江工商大学(全日制本科)-保险学专业.piz |
0548934ccff2d111dc253d9ab7dc8101 |
红雨滴云沙箱报告[4] |
域前置木马 |
|
goopdate.dll |
31186bd02349ca8050fb66d25849a7e7 |
红雨滴云沙箱报告[5] |
白加黑的黑dll,通过同目录下的update.exe加载执行 |
案例:利用安全厂商域名伪装的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnj4V299kNObtGx127v |
|
样本文件名 |
关于调整**基层干部员工2023年7月份绩效考核结果的通知.exe |
|
样本MD5 |
404357e3f4b8f6edb0cf09e45b1196cd |
|
样本类型 |
PE64 Executable for MS Windows (EXE) |
|
样本大小 |
2643104字节 |
|
RAS检测结果 |
Signed_PE neutral-lang |
|
样本基因特征 |
隐藏自身 注入 检测沙箱 解压执行 修改浏览器配置 检测虚拟机 HTTP通信 探针 联网行为 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。
点击右侧导航栏的静态分析功能,在文件基本信息部分展示了文件图标。可以看到文件以Word图标进行伪装,并以过长的文件名来遮掩最后的exe后缀,以此迷惑受害者。
往下滚动,可以看到数字签名的相关信息
点击右侧导航栏的深度解析功能,可以看到可执行文件的imphash,该值可以用做样本溯源关联。另外还可以查看文件签名信息,包括证书颁发者名称、开始时间、失效时间、证书指纹等。
沙箱报告的行为异常功能显示样本运行后会调用cmd.exe打开名为“tmp_yeumwu.docx”的文档。打开的文档为诱饵文档,但是我们疑惑的是,为什么压缩包名为“关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z”,这里展示的诱饵却是一份高级DevOps工程师的简历,直到我们通过云沙箱的关联分析功能,我们才知道了这个问题的答案。
网络行为显示样本会尝试解析某个带有安全厂商名称的域名(static.cgbchina.com.cn.cloud.360.net),该域名经过CDN加速,发起的HTTPS请求中连接的IP(115.231.71.80)实际为CDN服务器IP之一。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本以Word图标进行伪装,并携带某安全厂商签名,运行后释放诱饵文档迷惑受害者,并采用域前置技术将网络通信数据伪装为连接仿照安全厂商域名的合法流量。
点击右侧导航栏的社区功能,用户可以通过沙箱辅助分析后进行判定,并添加自己的标签,或者添加评论,为网络安全贡献自己的一份力量。
云沙箱关联分析
得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询和关联查询两种查询功能按钮。
通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。
关联的样本如下
我们可以看到在7月31日有名为“百度金融度小满开发运营团队高级DevOps工程师JD.exe”的样本上传,其诱饵内容也与之相关。这也就解答了我们在上面的问题,由于时间仓促,攻击者来不及更改此次演习的诱饵,就投入使用,造成了诱饵文件名与诱饵内容不符的奇怪景象。
另外,关联可知,最早的同源木马于2023年5月25日投递过我们沙箱。
部分IOC信息
404357e3f4b8f6edb0cf09e45b1196cd
08fa017f9610c0912021d9f4463487aa
0548934ccff2d111dc253d9ab7dc8101
31186bd02349ca8050fb66d25849a7e7
域名:
static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com(正常域名,用于CDN隐藏通信)
api.qianxin.com.cdn.dnsv1.com.cn(正常域名,用于CDN隐藏通信)
yunqishangwu.com(正常域名,用于CDN隐藏通信)
huawei.dcclouds.com(正常域名,用于CDN隐藏通信)
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[1]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnjpwjKa5r8RybxhCWY
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6
[4].https://sandbox.ti.qianxin.com/sandbox/page/detailtype=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6
[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:警惕披着安全厂商外衣的攻击样本
