红雨滴云沙箱：曝光带壳样本的恶意行为

逆向病毒分析 9个月前 admin

205 0 0

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间，红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本（文末提供部分IOC）。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.17日演习相关样本信息

恶意样本为了对抗安全分析人员的静态分析常用手段之一就是加壳保护，而有些保护壳还带有检测调试器、虚拟机等对抗动态分析的功能，这无疑加大了分析难度，阻碍了对相关安全事件的排查处置过程。为此，红雨滴云沙箱提供了尽可能真实的模拟运行环境，让此类带壳样本“无感”运行，从而捕获它们存在的恶意行为，助力分析人员对样本的研判。

红雨滴云沙箱近期捕获的与演习相关的样本包括：“团队个人业绩提成分红核对.exe”，“安全检查工具-v1.41.zip”，“数据脱敏在数据中台产品的实践与应用-0814.docx.exe”，“****人才管理系统V1.1.zip”等。其中“团队个人业绩提成分红核对.exe”带有VMP壳，运行时释放白利用组件，然后连接C2服务器。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表：

样本名称	MD5	红雨滴云沙箱报告链接	备注
团队个人业绩提成分红核对.exe	e1f4ef51d6ead7bf529149a810110b0c	红雨滴云沙箱报告^[1]	VMP壳，释放白利用组件
安全检查工具-v1.41.zip	112299dc0c2eb3eb90d4e34befcb8e20	红雨滴云沙箱报告^[2]	DLL白利用
数据脱敏在数据中台产品的实践与应用-0814.docx.exe	ff7c7c2643861d43a9da48ac102b8d14	红雨滴云沙箱报告^[3]	木马
****人才管理系统V1.1.zip	f4a4ddb61b5da29f25d5943c93dec62a	红雨滴云沙箱报告^[4]	木马

案例：使用VMP加壳的攻击样本分析

样本基本信息

红雨滴云沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoCSirWCf0-QUp-80a7
样本文件名	团队个人业绩提成分红核对.exe
样本MD5	e1f4ef51d6ead7bf529149a810110b0c
样本类型	PE32 Executable for MS Windows (EXE)
样本大小	1923312字节
RAS检测结果	Signed_PE neutral-lang
样本基因特征	解压执行探针检测虚拟机可疑命令行检测沙箱联网行为程序崩溃持久化

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。

红雨滴云沙箱提供Restful API接口，可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中，进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。该样本被多家杀软引擎检测为恶意。

静态分析的显示了样本用文档图标进行伪装，并带有名称为“12980215 Canada Inc.”的数字签名。

行为异常部分表明样本会创建一个名为”WinDefeny”的服务，可能借此实现持久化。

主机行为中的行为分析图给出了样本运行后的行为概要信息，可以看到样本会释放名为”foundation.dll”的文件，启动Browser.exe进程，创建服务，并连接外部IP。

主机行为的进程部分信息显示样本运行后的进程树关系和进程启动路径，值得注意的是mstsc.exe这个进程启动路径并不是系统目录。

点击上面进程列表中的特定进程，可以查看该进程的详细行为信息。可以看到样本运行后会在“C:UsersPublicVideos”下创建子目录，并释放“Foundation.dll”和”Browser.exe”文件。

Browser.exe被启动后，加载同目录下的“Foundation.dll”。

创建另一个目录，同样在该目录中写入DLL和EXE文件，并将其中的Browser.exe重命名为mstsc.exe。

网络行为显示样本运行后连接134.122.200[.]208的15858端口。

在威胁情报中，样本通信IP已被标明与远控木马有关，并且释放的foundation.dll文件也被标为木马。

经过沙箱辅助分析，解读分析报告后，我们对该样本的整体行为有了初步了解：该样本通过文件名和图标伪装成文档诱使受害者点击，运行后在指定目录释放EXE和DLL白利用组件，释放的EXE程序加载恶意DLL后，复制白利用组件到另一个目录，将其中的EXE文件重命名以伪装成系统文件，创建服务实现持久化，并与C2服务器建立网络通信。

部分IOC信息

MD5：

e1f4ef51d6ead7bf529149a810110b0c

112299dc0c2eb3eb90d4e34befcb8e20

ff7c7c2643861d43a9da48ac102b8d14

f4a4ddb61b5da29f25d5943c93dec62a

域名和IP:

134.122.200.208:15858

service-lr7gw0h7-1319987096.sh.apigw.tencentcs.com (云服务)

140.143.147.47:443

service-85p6f2qr-1252579309.bj.apigw.tencentcs.com (云服务)

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成：https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[5]。

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoCSirWCf0-QUp-80a7

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9nBLw9kNObtGx17-h

[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9GhxWCf0-QUp-8zNk

[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoBzLUbCf0-QUp-80Wi

[5].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip

点击阅读原文至ALPHA 6.0

即刻助力威胁研判