概述
长期以来,360混天零实验室(360 HuntingZero Lab)通过360沙箱云“高级威胁狩猎平台”持续捕获可疑样本。近期,我们在360沙箱云投递任务中发现了大量与演练相关的样本检测任务,其中既有大量老套的攻击样本也不乏新型高技术含量的攻击样本。
为了提升广大用户的安全意识,践行网络安全强国战略,在演练期间,360沙箱云将不定时发布演练相关样本的分析结果,帮助大家了解攻击手段的同时增加大家安全防范意识。我们将采用沙箱云分析安全专家解读的方式,为大家呈现全面完整的攻击手段和过程。
欢迎大家试用和订阅360沙箱云进行样本分析或威胁检测,在使用过程中有任何问题都可以通过沙箱云界面右下角的“联系我们”进行反馈沟通。
演练速递
演练伊始,360沙箱云威胁分析团队捕获到大量直接或间接使用伪造文档进行的攻击活动,虽说使用伪造文档作为攻击手段已较为老套,但是总是能在不同的检测任务和攻击场景中看到它的身影,不管是直接投递还是作为邮件附件进行钓鱼攻击,其都可以是一种低成本、高覆盖的攻击手段,对于安全防范意识低的受害者其可能会发挥出奇效。演练期间我们不断捕获此类样本:“叶某某-26岁-17届某工商大学(全日制本科)-保险学专业.exe”、“新版电放申请书——适用于未签发提单.exe”,此类样本通过使用文档文件图标和长度较长的文件名迷惑用户,使用户误以为是文档文件而双击打开,这里也提醒广大用户双击文件前注意文件类型,如果文件图标和文件类型不匹配请慎重双击。此次我们以文件 “叶某某-26岁-17届某工商大学(全日制本科)-保险学专业.exe” 为例向大家展示一次从样本投递到分析的全流程。
样本信息
| 文件名称 | 叶某某-26岁-17届某工商大学(全日制本科)-保险学专业.exe |
| MD5 | 49ffbb587f6f89d01db4e6e7bbf78b07 |
| SHA1 | 2f6290bb94c3a5fdc09747bdc6e9118d54469a33 |
| 沙箱云报告 | https://ata.360.net/report/468083923643392 |
| 攻击类型 | 伪造文档 |
首先打开浏览器,访问360沙箱云高级威胁分析平台(https://ata.360.net/)并通过账号密码登录360沙箱云高级威胁分析平台。
点击页面中间区域,或直接拖拽样本上传,支持批量上传多个样本,样本上传后,沙箱云将自动识别样本类型并为其选择合适的检测环境(也可手动设置检测环境,目前沙箱云已支持日常使用的所有类型文件的检测包括邮件、压缩包等,投递压缩包时请注意压缩包中的文件的位数),可在样本列表查看样本名、样本大小,如选择错误,可以删除列表中的指定样本,重新上传。URL提交直接输入或粘贴URL即可。
文件提交后,只需稍等2分钟文件分析结束,分析结束后将自动跳转到任务报告页面。分析报告包括:分析概览、静态分析、行为分析、网络分析、释放文件、释放内存、威胁指标,可以切换查看。
分析概览
分析概览包括分析文件的基本信息、智能引擎、静态引擎判定、MITRE ATT&CK技术点检测、行为判定、运行截图、网络概要、行为总览等综合信息。通过分析概览我们知道该样本被定性成一个恶意样本(分值0-4.9判定为未发现威胁;5.0-7.4判定为可疑;7.5-10判定为恶意)。
静态引擎鉴别部分,沙箱云依托360强大的引擎查杀能力使用了4种智能引擎 Avatar、Edda、Miami、Normandy,9种查杀引擎 QEX、AVE、AVM、QVM、AQVM、BD、AVIRA、鲲鹏、黑白文件签名引擎对文件进行深度检测,识别出样本是一个恶意文件。
行为判定是通过对包括浏览器行为、网络连接、防御逃避、系统活动、进程注入、安装程序、检测逃避、系统安全、命令执行、持久化、信息发现等多方面的行为进行检测、分析、判定得到的结果。行为判定分为三个类别:高危行为(红)、可疑行为(黄)、低危行为(绿)。
通过行为判定我们可以对样本运行期间发生的行为有一个大致的了解,这里我们重点关注其中的两个高危行为,可以看到其不仅使用了 CobaltStrike 黑客工具的核心 dll 模块 Beacon.dll,还试图通过打开正常文档来迷惑用户让用户觉得文档被正常打开。
行为分析
行为分析包括行为关系树、进程树、行为判定、行为事件等。
其中行为关系图展示任务运行的整个进程关系图,包括进程的网络通信信息、文件释放和进程间父子关系等信息。通过此行为关系图,我们能对样本运行过程中的行为有最直观的了解。
行为判定展示当前选定进程的基本信息和行为信息,如果说分析概览中的行为判定能让我们对样本运行期间发生的行为有一个大致的了解,则此处的行为判定则能让我们将样本整个运行期间产生的行为串联起来形成一套完整攻击链路。
我们选定母体样本进程,行为判定中便会展示其运行后释放了用于迷惑用户的文档文件和木马文件,然后启动 word 打开了文档文件并运行了木马。
我们再选定子进程 dllhosts.exe,通过 dllhosts.exe 进程的行为我们知道其是使用 CobaltStrike 黑客工具核心 dll 模块的进程。
网络分析
网络分析展示任务分析过程中,样本外发的各种协议的网络通信记录。包括流量检测、主机、域名、HTTP、HTTPS、TCP、UDP、ICMP、FTP、SMTP、IRC。通过网络分析我们知道该样本运行过程中产生了数次网络外联行为。
威胁指标
威胁指标展示任务分析过程中提取的情报信息,包括情报指标、情报类型、威胁类型、可信指数、严重程度。依托 360 威胁情报中心的支持,对攻击者来源和身份背景分析,实现攻击溯源。积累样本资源,通过信息自动化反馈机制,不断提高系统威胁感知能力。
IOC
MD5:
49ffbb587f6f89d01db4e6e7bbf78b07
33c7a57e90723a0e82e537e60f27c707
789db705702037806528a056d925fdb1
域名:
www.cocos[.]com
huawei.dcclouds[.]com
wwqw.lanzouk[.]com
www.271bay[.]com
yunqishangwu[.]com
IP:
58.220.53.89
58.215.92.84
58.215.92.82
114.230.213.87
使用安全大脑进行关联分析
依托 360 威胁情报中心的支持,对样本及样本运行过程中产生的情报指标进行任务关联分析,只需点击相关信息的 ti 按钮即可拓宽威胁视野。
以域名 yunqishangwu[.]com 为例点击 ti 按钮跳转到安全大脑后可通过通信样本、溯源样本等发现更多威胁信息。
关于沙箱云
360沙箱云是 360 安全情报中心旗下的在线高级威胁分析平台,对提交的文件、URL,经过静态检测、动态分析等多层次分析的流程,触发揭示漏洞利用、检测逃逸等行为,对检测样本进行恶意定性,弥补使用规则查杀的局限性,通过行为分析发现未知、高级威胁,形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案;帮助安全管理员聚焦需关注的安全告警,过安全运营人员的分析后输出有价值的威胁情报,为企业形成专属的威胁情报生产能力,形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题,沙箱云为用户提供持续跟踪微软已纰漏,但未公开漏洞利用代码的 1day,以及在野 0day 的能力。
360混天零实验室负责高级威胁自动化检测项目和云沙箱技术研究,专注于通过自动化监测手段高效发现高级威胁攻击;依托于 360 安全大数据,多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件,多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢,在野 0day 漏洞的发现能力处于国内外领先地位,为上亿用户上网安全提供安全能力保障。
原文始发于微信公众号(360威胁情报中心):360沙箱云提醒您:注意防范伪装成文档的恶意程序攻击
