概述
8.18日演习相关样本信息
其中样本“2023年中国****集团有限公司七夕活动安排.exe”使用多种沙箱检测手段,当检测到在沙箱环境中运行时,会向华为主域名www.huawei[.]com发送HTTP请求以迷惑分析人员,实际上该样本在所有检测通过后将从某个阿里云服务地址下载后续载荷,并加载执行。
部分演习相关样本红雨滴云沙箱报告链接
近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表:
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
2023年中国****集团有限公司七夕活动安排.exe |
481d33788bb96c81785548f5048e36af |
红雨滴云沙箱报告[1] |
多种沙箱检测手段,云服务下载后续 |
|
481d_e |
d471f9a2758ae8fdb3748991127f8ca6 |
红雨滴云沙箱报告[2] |
上面样本的Patch版 |
|
关于邀请参加“网络中国节·七夕”——“青春巷约,同心巷望”婚恋交友文化活动的涵.docx.exe |
3f203315e986a7dc1b8b2859f5f188f5 |
红雨滴云沙箱报告[3] |
Pyinstaller打包,打开位于其他路径的诱饵文档和恶意程序 |
案例:以“七夕活动”为诱饵的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoGfI9TCf0-QUp-81ej |
|
样本文件名 |
2023年中国****集团有限公司七夕活动安排.exe |
|
样本MD5 |
481d33788bb96c81785548f5048e36af |
|
样本类型 |
PE64 Executable for MS Windows (EXE) |
|
样本大小 |
2968064字节 |
|
RAS检测结果 |
zh-CN |
|
样本基因特征 |
联网行为 HTTP通信 可疑域名 网银木马 窃密软件 检测沙箱 检测虚拟机 探针 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。
静态分析的基本信息显示样本用文档图标进行伪装。
网络行为中样本解析过华为和阿里云的主域名,并向阿里云主域名发起HTTP请求,乍看似乎是借华为和阿里云域名进行域前置,但未发现与域前置有关的网络请求。
而DNS解析中出现的另外两个域名引起了我们注意,ipinfo.io和cip.cc都是用于查询IP地址的,也可以通过它们获得公网IP地址信息。
行为异常中的信息也表明该样本有查找外部IP地址的行为。
样本静态分析
以上疑点使我们查看样本的代码逻辑,发现样本使用了多种检测运行环境的方式,包括:
-
检查时区字符串中是否包含“中国”,不包含则未通过检测;
-
通过连接阿里云主域名https://www.aliyun.com/,检查返回内容是否包含特定字符串,判断运行环境是否联网;
-
检查文件路径名是否包含一些沙箱运行时的常用路径;
-
检查主机名是否包含一些沙箱运行时的常用字符串;
-
通过请求https://ipinfo.io/json获取运行环境的公网IP,检查公网IP是否属于内置的IP网段黑名单,如果不在黑名单中,继续借助ipinfo.io或cip.cc检查IP是否属于中国地区,不属于则未通过检测。
无论是否通过以上所有检测,都会向华为主域名www.huawei.com发送请求,以伪装为合法应用程序。只有通过所有检测,才会从一个阿里云服务地址下载后续,并保存为temp目录下“a509E-*.tmp”格式的文件。
然后读取下载文件的数据,分配内存,调用QueueUserAPC将其注入特定线程中执行。
Patch后样本云沙箱分析
通过分析样本检测运行环境的手法,发现检测公网IP地址对云沙箱的影响最大,因此在原样本基础上将该部分Patch,再次投入云沙箱进行动态分析。
红雨滴云沙箱报告链接
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoHanFga5r8RybxhMOX |
|
样本文件名 |
481d_e |
|
样本MD5 |
d471f9a2758ae8fdb3748991127f8ca6 |
|
样本类型 |
PE64 Executable for MS Windows (EXE) |
|
样本大小 |
2968064字节 |
|
RAS检测结果 |
zh-CN |
|
样本基因特征 |
窃密软件 注入 HTTP通信 网银木马 检测沙箱 探针 解压执行 shellcode 检测虚拟机 |
在主机行为中可以看到样本打开系统中的wordpad.exe文件,而wordpad.exe进程访问域名video.youxian.gov[.]cn。
样本进程在temp目录下写入“a509E-*.tmp”名称格式的文件。
网络行为显示样本请求云服务地址hxxps://zwsystatics.oss-cn-hangzhou.aliyuncs.com/logo.png。
获取的后续载荷采用域前置手法,连接经过CDN加速的域名video.youxian.gov[.]cn,Host字段设置为captcha.jincheng4917[.]cn进行流量转发。
结合对样本的静态分析和沙箱辅助动态分析,我们对该样本的整体行为有了初步了解:该样本通过文件名和图标伪装成文档诱使受害者点击,运行后检测运行环境,无论是否通过检测,都会向华为和阿里云主域名发送请求进行伪装,而当所有检测通过后,将从阿里云服务下载后续,将其注入启动的wordpad.exe进程中,并通过域前置手法与C2服务器通信。
部分IOC信息
481d33788bb96c81785548f5048e36af
3f203315e986a7dc1b8b2859f5f188f5
域名和URL:
hxxps://zwsystatics.oss-cn-hangzhou.aliyuncs.com/logo.png (下载后续)
video.youxian.gov.cn (CDN域名,用于域前置)
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[4]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoHanFga5r8RybxhMOX
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn4OzAqa5r8RybxhIEe
[4].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:“七夕活动”陷阱,层层伪装的攻击样本分析
