概述
长期以来,360混天零实验室(360 HuntingZero Lab)通过360沙箱云“高级威胁狩猎平台”持续捕获可疑样本。近期,我们在360沙箱云投递任务中发现了大量与演练相关的样本检测任务,其中既有大量老套的攻击样本也不乏新型高技术含量的攻击样本。
为了提升广大用户的安全意识,践行网络安全强国战略,在演练期间,360沙箱云将不定时发布演练相关样本的分析结果,帮助大家了解攻击手段的同时增加大家安全防范意识。我们将采用沙箱云分析安全专家解读的方式,为大家呈现全面完整的攻击手段和过程。
欢迎大家试用和订阅360沙箱云进行样本分析或威胁检测,在使用过程中有任何问题都可以通过沙箱云界面右下角的“联系我们”进行反馈沟通。
演练速递
演练伊始360沙箱云威胁分析团队捕获到数个使用 Office 漏洞进行攻击的高危样本:“vpn使用说明.doc”、“个人简历-王某某.pdf”,其中既有使用国外 office 应用漏洞的样本也有使用国内 Office 应用漏洞的样本,既有利用新出现漏洞的样本也有利用老旧漏洞的样本。本次分析我们使用“vpn使用说明.doc”攻击样本作为案例进行分析,虽然它使用的 CVE-2017-11882 漏洞较为久远,但是该样本展示出来的行为较为丰富、使用的漏洞也比较经典,能够让我们对 Office 类漏洞攻击及检测有一个清楚的认识。希望看完本次案例分析大家能够及时更新自己使用的 Office 应用免受新旧漏洞的攻击,下面让我们使用360沙箱云一步步剖析其恶意行为。
样本信息
| 文件名称 | vpn使用说明.doc |
| MD5 | 3a9b325ff20610c174a9cf8007bcb03b |
| SHA1 |
cfab62d85845773fd88f4b7b775cf9a66ed9dec3 |
| 沙箱云报告 | https://ata.360.net/report/469127650171904 |
| 攻击类型 | Office 漏洞 |
使用沙箱云分析案例样本
首先打开浏览器,访问360沙箱云高级威胁分析平台(https://ata.360.net/)并通过账号密码登录360沙箱云高级威胁分析平台。
点击页面中间区域,或直接拖拽样本上传,支持批量上传多个样本,样本上传后,沙箱云将自动识别样本类型并为其选择合适的检测环境(也可手动设置检测环境,目前沙箱云已支持日常使用的所有类型文件的检测包括邮件、压缩包等,投递压缩包时请注意压缩包中的文件的位数),可在样本列表查看样本名、样本大小,如选择错误,可以删除列表中的指定样本,重新上传。URL提交直接输入或粘贴URL即可。
文件提交后,只需稍等2分钟文件分析结束,分析结束后将自动跳转到任务报告页面。分析报告包括:分析概览、静态分析、行为分析、网络分析、释放文件、释放内存、威胁指标,可以切换查看。
分析概览
分析概览包括分析文件的基本信息、智能引擎、静态引擎判定、MITRE ATT&CK技术点检测、行为判定、运行截图、网络概要、行为总览等综合信息。通过左侧基本信息栏我们知道该样本被定性成一个恶意样本(分值0-4.9判定为未发现威胁;5.0-7.4判定为可疑;7.5-10判定为恶意),且其文件类型并非如文件后缀所示为 doc 文档实际上是 rtf 文档,从多个红色危险标签中我们看到了 CVE-2017-11882、非PE释放PE、非PE运行PE、公式编辑器运行进程等,下面的分析中我们将介绍这些标签的意义和由来。
静态判定
静态引擎鉴别部分,沙箱云依托360强大的引擎查杀能力使用了4种智能引擎 Avatar、Edda、Miami、Normandy,9种查杀引擎 QEX、AVE、AVM、QVM、AQVM、BD、AVIRA、鲲鹏、黑白文件签名引擎对文件进行深度检测,其中数个引擎对该文件进行了报毒,且检出的利用漏洞编号与动态运行检出漏洞编号一致。
行为判定
行为判定是通过对包括浏览器行为、网络连接、防御逃避、系统活动、进程注入、安装程序、检测逃避、系统安全、命令执行、持久化、信息发现等多方面的行为进行检测、分析、判定得到的结果。行为判定分为三个类别:高危行为(红)、可疑行为(黄)、低危行为(绿)。
通过行为判定我们可以对样本运行期间发生的行为有一个全面的了解,我们关注其中的高危行为和可疑行为。首先是检测到该文档使用了已知的用户态漏洞 CVE-2017-11882,这正是360沙箱云通过热补检测技术,精确检测到样本企图利用漏洞的结果,也是标签 CVE-2017-11882 的由来,并且通过“模块路径”一栏我们知道这是一个位于 EQNEDT32.exe 中的漏洞。
然后是检测到该文档文件在打开过程中向计算机中写入并运行可执行文件,对于文档文件来说向计算机中写入和运行可执行文件无疑是比较危险的行为,所以360沙箱云将其作为高危行为展示,这正是标签非PE释放PE、非PE运行PE的由来。
最后是检测到公式编辑器进程通过命令行启动了文档打开过程中写入的可执行文件,这印证了漏洞 CVE-2017-11882 其实是 office 公式编辑器中的漏洞,这一行为是标签公式编辑器运行进程的由来。
行为分析
行为分析包括行为关系树、进程树、行为判定、行为事件等。
上述已经总体的解读过行为判定,所以这里重点关注行为关系图,行为关系图展示任务运行的整个进程关系图,包括进程的网络通信信息、文件释放和进程间父子关系等信息。通过行为关系图,我们能对样本运行过程中的行为有最直观的了解,在这里我们看到文档打开过程中 WINWORD.EXE 进程写入了 pre.exe 文件,然后由 EQNEDT32.EXE 启动了 pre.exe 进程。
释放文件
释放文件展示任务分析过程中释放的文件列表、文件详细信息、以及查杀引擎对释放文件的判定结果,点击右侧按钮即可下载文件、关联分析和提交分析。
IOC
MD5:
3a9b325ff20610c174a9cf8007bcb03b
c920a39644fde3ad2c1da210d432f57c
关于沙箱云
360沙箱云是 360 安全情报中心旗下的在线高级威胁分析平台,对提交的文件、URL,经过静态检测、动态分析等多层次分析的流程,触发揭示漏洞利用、检测逃逸等行为,对检测样本进行恶意定性,弥补使用规则查杀的局限性,通过行为分析发现未知、高级威胁,形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案;帮助安全管理员聚焦需关注的安全告警,过安全运营人员的分析后输出有价值的威胁情报,为企业形成专属的威胁情报生产能力,形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题,沙箱云为用户提供持续跟踪微软已纰漏,但未公开漏洞利用代码的 1day,以及在野 0day 的能力。
360混天零实验室负责高级威胁自动化检测项目和云沙箱技术研究,专注于通过自动化监测手段高效发现高级威胁攻击;依托于 360 安全大数据,多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件,多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢,在野 0day 漏洞的发现能力处于国内外领先地位,为上亿用户上网安全提供安全能力保障。
原文始发于微信公众号(360威胁情报中心):360沙箱云提醒您:注意防范 Office 软件漏洞攻击
