概述
长期以来,360混天零实验室(360 HuntingZero Lab)通过360沙箱云“高级威胁狩猎平台”持续捕获可疑样本。近期,我们在360沙箱云投递任务中发现了大量与演练相关的样本检测任务,其中既有大量老套的攻击样本也不乏新型高技术含量的攻击样本。
为了提升广大用户的安全意识,践行网络安全强国战略,在演练期间,360沙箱云将不定时发布演练相关样本的分析结果,帮助大家了解攻击手段的同时增加大家安全防范意识。我们将采用沙箱云分析安全专家解读的方式,为大家呈现全面完整的攻击手段和过程。
欢迎大家试用和订阅360沙箱云进行样本分析或威胁检测,在使用过程中有任何问题都可以通过沙箱云界面右下角的“联系我们”进行反馈沟通。
演练速递
演练伊始360沙箱云威胁分析团队捕获到大量利用社会热点和大众猎奇心理进行攻击的高危样本:“缅北的真实事件与视频ku.exe”、“20230817南方航空收到客户投诉信息详情.exe”。这些样本除了使用吸引眼球的名称来引诱受害者还更换了符合名称的图标来迷惑受害者,而这么做的目的就是降低受害者防备心理诱使受害者下载文件并点击让受害者顺利吃上瓜。下面我们以“缅北的真实事件与视频ku.exe”为案例样本使用360沙箱云进行分析,希望通过本次案例分析能够让大家在准备吃瓜之前多长个心眼,切勿在好奇冲动之下着了攻击者的道。
样本信息
| 文件名称 |
缅北的真实事件与视频ku.exe |
| MD5 |
52aa273328e8a64f51f5ab154ba1e984 |
| SHA1 |
1b1ca5fc052faf96b7ae5b161c23235e02893e6b |
| 沙箱云报告 |
https://ata.360.net/report/470204216047616 |
| 攻击类型 |
木马病毒 |
使用沙箱云分析案例样本
首先打开浏览器,访问360沙箱云高级威胁分析平台(https://ata.360.net/)并通过账号密码登录360沙箱云高级威胁分析平台。
点击页面中间区域,或直接拖拽样本上传,支持批量上传多个样本,样本上传后,沙箱云将自动识别样本类型并为其选择合适的检测环境(也可手动设置检测环境,目前沙箱云已支持日常使用的所有类型文件的检测包括邮件、压缩包等,投递压缩包时请注意压缩包中的文件的位数),可在样本列表查看样本名、样本大小,如选择错误,可以删除列表中的指定样本,重新上传。URL提交直接输入或粘贴URL即可。
文件提交后,只需稍等2分钟文件分析结束,分析结束后将自动跳转到任务报告页面。分析报告包括:分析概览、静态分析、行为分析、网络分析、释放文件、释放内存、威胁指标,可以切换查看。
分析概览
分析概览包括分析文件的基本信息、智能引擎、静态引擎判定、MITRE ATT&CK技术点检测、行为判定、运行截图、网络概要、行为总览等综合信息。通过左侧基本信息栏我们知道该样本被定性成一个恶意样本(分值0-4.9判定为未发现威胁;5.0-7.4判定为可疑;7.5-10判定为恶意),从多个红色危险标签中我们看到了 高危指标、HOLLOWING(进程挖空)、反调试、自启动等,下面的分析中我们将介绍这些标签的意义和由来。
静态判定
静态引擎鉴别部分,沙箱云依托360强大的引擎查杀能力使用了4种智能引擎 Avatar、Edda、Miami、Normandy,9种查杀引擎 QEX、AVE、AVM、QVM、AQVM、鲲鹏、文件签名引擎等对文件进行深度检测,其中两个引擎对该文件进行了报毒,并且由于该样本的外连 IP 被 IP 情报关联到“后门软件”,所以该外连 IP 被作为高危指标展示,这正是标签中高危指标的由来。
行为判定
行为判定是通过对包括浏览器行为、网络连接、防御逃避、系统活动、进程注入、安装程序、检测逃避、系统安全、命令执行、持久化、信息发现等多方面的行为进行检测、分析、判定得到的结果。行为判定分为三个类别:高危行为(红)、可疑行为(黄)、低危行为(绿)。
通过行为判定我们可以对样本运行期间发生的行为有一个全面的了解,我们关注其中的高危行为和可疑行为。首先在进程注入方面检测到该样本使用了进程注入技术中的进程挖空技术运行恶意代码,进程挖空技术能够让恶意程序的恶意代码披着正常进程的外衣悄悄运行,这种技术使得用户很难从进程信息层面发现运行在计算机中的恶意代码,这一检测结果正是标签 HOLLOWING 的由来。
然后在防御逃避方面检测到该样本使用了多种技术手段来逃避检测和对抗分析,我们挑其中的三个重要手段进行介绍。其一是检测计算机中窗口的窗口类名,要检测的窗口类名是一些安全监视工具运行时需要创建的窗口类。
其二是创建线程时设置 “对调试器隐藏” 标志位以期对调试器隐藏该线程,使调试器无法调试该线程。
其三是检测计算机中是否存在调试器和取证工具使用的符号链接,以上三点正是标签中反调试的由来。
最后在持久化方面检测到该样本在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下插入两个自启点以期在开机时自动启动恶意程序,这正是标签自启动的由来。
行为分析
行为分析包括行为关系树、进程树、行为判定、行为事件等。
行为关系图展示任务运行的整个进程关系图,包括进程的网络通信信息、文件释放和进程间父子关系等信息。通过行为关系图,我们能对样本运行过程中的行为有最直观的了解。
行为判定展示当前选定进程的基本信息和行为判定,如果说分析概览中的行为判定能让我们对样本运行期间发生的行为有一个全面的了解,则此处的行为判定能让我们将样本整个运行期间产生的行为归因于具体的进程。
网络分析
网络分析展示任务分析过程中,样本外发的各种协议的网络通信记录。包括流量检测、主机、域名、HTTP、HTTPS、TCP、UDP、ICMP、FTP、SMTP、IRC。通过网络分析我们知道该样本运行过程中产生了数次网络行为。
IOC
MD5:
52aa273328e8a64f51f5ab154ba1e984
523d5c39f9d8d2375c3df68251fa2249
d22cfb5bfaeb1503b12b07e53ef0a149
域名:
sidamingzhu.oss-cn-hongkong.aliyuncs.com
xxdj.wccabc.com
关于沙箱云
360沙箱云是 360 安全情报中心旗下的在线高级威胁分析平台,对提交的文件、URL,经过静态检测、动态分析等多层次分析的流程,触发揭示漏洞利用、检测逃逸等行为,对检测样本进行恶意定性,弥补使用规则查杀的局限性,通过行为分析发现未知、高级威胁,形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案;帮助安全管理员聚焦需关注的安全告警,过安全运营人员的分析后输出有价值的威胁情报,为企业形成专属的威胁情报生产能力,形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题,沙箱云为用户提供持续跟踪微软已纰漏,但未公开漏洞利用代码的 1day,以及在野 0day 的能力。
360混天零实验室负责高级威胁自动化检测项目和云沙箱技术研究,专注于通过自动化监测手段高效发现高级威胁攻击;依托于 360 安全大数据,多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件,多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢,在野 0day 漏洞的发现能力处于国内外领先地位,为上亿用户上网安全提供安全能力保障。
原文始发于微信公众号(360威胁情报中心):360沙箱云提醒您:注意防范利用社会热点的恶意程序攻击
