概述
8.15日演习相关样本信息
在DLL白利用中,攻击者借助于白程序加载并运行放置在特定目录下的DLL文件,借此绕过某些安全检测和防御机制,从而在受害系统中执行恶意行为,如窃取敏感信息、植入后门、执行远程命令等。
红雨滴云沙箱近期捕获的一些白利用样本包括:“2023第三季度绩效自评.zip”,“***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar”,“招标投诉反馈附件.zip”,“关于上海中检内部疫情谣言控制的通知.zip”等。其中“2023第三季度绩效自评.zip”通过诱使受害者点击压缩包中伪装成文档的LNK文件触发放置在解压文件夹其他位置的木马程序,并且攻击方对放置木马程序的文件夹设置了隐藏属性,加上LNK文件的扩展名”.lnk”也不会直接出现在文件资源管理器的界面中,再配合与文件名称相符的图标,使得攻击者生成的LNK文件极具迷惑性。
而LNK文件直指隐藏文件夹中的白程序。
部分演习相关样本红雨滴云沙箱报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
2023第三季度绩效自评.zip |
d0eb7f2597b03bfc79bba90dfadcc53c |
红雨滴云沙箱报告[2] |
白利用 |
|
***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar |
31e1ac11ba92dfb849afd98c7e8295bc |
红雨滴云沙箱报告[3] |
白利用 |
|
招标投诉反馈附件.zip |
6d906d36bc92aaef2809ae8645a169d9 |
红雨滴云沙箱报告[4] |
白利用 |
|
关于上海中检内部疫情谣言控制的通知.zip |
28c791891b0609297b8d1b72c5c8ae6a |
红雨滴云沙箱报告[5] |
白利用 |
案例:白利用的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn38Tlq9kNObtGx160K |
|
样本文件名 |
2023第三季度绩效自评.zip |
|
样本MD5 |
d0eb7f2597b03bfc79bba90dfadcc53c |
|
样本类型 |
Compressed Archive File in zip Format |
|
样本大小 |
611562字节 |
|
RAS检测结果 |
Contain_PE64 Maybe_Sideloading Signed_PE ZIP_LNK en-US neutral-lang |
|
样本基因特征 |
解压执行 检测沙箱 探针 检测虚拟机 HTTP通信 持久化 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,并且红雨滴云沙箱的RAS引擎准确识别出了样本中包含的攻击技术和相关特性:携带LNK文件的Zip压缩包、以及疑似侧加载。
点击右侧导航栏的深度解析功能,在流文件信息部分展示了压缩包中包含的文件,这些文件的详细信息默认全部展开,可以点击右上角的“全部收起”显示概要信息。
流文件信息中可以看到白程序和隐藏的恶意dll文件。
主机行为功能的行为分析图显示,qc.exe会执行一些异常行为,并发起网络通信。
点击主机行为的进程信息中列出的qc.exe进程,会展示该进程执行的各类行为,在“加载的DLL列表”中可以发现该程序会加载解压文件夹中的WTSAPI32.dll文件。
网络行为显示样本与一个云服务域名建立HTTPS通信。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本通过诱使受害者点击Zip压缩包中的LNK文件,进而启动位于压缩包其他位置的白程序,白程序加载恶意的dll文件,借此绕过某些安全检测和防御机制,从而在受害系统中执行恶意行为。
云沙箱关联分析
得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询和关联查询两种查询功能按钮。
通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。
可以看到关联样本中还包括了多个被打上Maybe_Sideloading和CobaltStrike的攻击样本。
部分IOC信息
d0eb7f2597b03bfc79bba90dfadcc53c
31e1ac11ba92dfb849afd98c7e8295bc
6d906d36bc92aaef2809ae8645a169d9
28c791891b0609297b8d1b72c5c8ae6a
域名和IP:
service-9x1z4419-1319756492.sh.apigw.tencentcs.com(云服务)
121.43.187.93:4433
static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com (域前置)
106.15.230.1:8443
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[1]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn38Tlq9kNObtGx160K
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn39dFJa5r8RybxhIB_
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn39VNVCf0-QUp-8xzX
[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn4AOjxa5r8RybxhICQ
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:揪出隐藏的内鬼“DLL白利用”
