概述
本文以红雨滴云沙箱捕获到的演习攻击样本为基础,结合对部分样本的深入分析,总结这些样本所用手法和具有的特点。钓鱼邮件仍是攻击者常用的投递恶意样本的入口,样本通过各种方式伪装自身,诱使受害者点击打开。样本运行后再借助行为伪装进一步迷惑受害者,为了对抗沙箱分析,不少样本都包含了多种沙箱检测手段。样本使用的编程语言呈现多元化局面,并结合加壳和代码混淆阻碍人工分析,同时采用多层解码和载荷内存执行的方法绕过查杀。此外,云沙箱还捕获到利用文档处理软件0day漏洞的恶意文档。
攻击入口:钓鱼邮件
多种钓鱼手法
攻击者采用的钓鱼手法除了针对目标单位制作定向钓鱼邮件,还有采用广撒网式的群发邮件。在一起针对金融行业的攻击中,攻击者发送的钓鱼邮件收件邮箱地址多达数十个,涉及多家金融机构,下面展示了红雨滴邮件检测功能对相关钓鱼邮件的分析结果。(邮件检测链接:https://ares.ti.qianxin.com/ares/tools/maildetails/655ffabea215f33cc526565a5f9f89136ea57d33?istextshow=true)
加密附件
而为了让钓鱼邮件避开针对附件的检测,攻击者也采取了一些措施,常用的方式是对附件加密,并在邮件正文中给出解压密码。
样本文件类型与初始伪装
文件类型
单体EXE文件不少是未经过额外包装的木马后门程序,另一些则会释放诱饵文档或者后续组件。对于包含多个攻击组件的样本,攻击者也会选择用RAR或ZIP压缩打包然后投放给受害者。压缩包相比单体EXE的一个优势在于,如果压缩包中只有部分文件被发现并投入沙箱分析,就无法获取样本的完整可疑行为。
除了压缩包和EXE,还有一些其他文件类型的攻击样本出现在云沙箱中,比如镜像文件ISO和安装包文件MSI等,攻击者试图通过这些文件类型避开杀软的常规静态检测。
初始伪装
(1)文件名和图标伪装
攻击者常通过精心选择的文件名和图标迷惑受害者,吸引其打开文件,进而运行恶意程序。文件名大体上可以分成文档类和工具类两大类别。文档类的文件名又可以细分为如下所示的不同主题,此类样本用于伪装的图标基本上是Office文档、WPS文档和PDF文档的图标。
|
文件名主题类型 |
样本名称示例 |
|
简历/招聘 |
***保险Java资深研发工程师招聘需求.pdf.exe |
|
通知/通告 |
关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z |
|
数据信息/文件资料 |
团队个人业绩提成分红核对.exe |
|
问题反馈/投诉举报 |
中国金融期货交易所-业务流程审批问题.exe |
工具类的名称伪装也分为几种子类:普通工具、软件更新、安全防护工具,其中尤以安全防护工具的伪装居多。此类样本有些会使用被模仿厂商或者单位的图标。
|
文件名主题类型 |
样本名称示例 |
|
普通工具 |
flashplayerpp_install_cn_web.exe |
|
软件更新 |
OAupdate.exe |
|
安全防护工具 |
**证券网络安全检测客户端.exe |
(2)目录隐藏或伪装
该伪装手法常见于压缩包样本,攻击者将一些恶意组件放在压缩包的隐藏目录或者伪装为特殊文件夹的目录中,当受害者解开压缩包后,只看到部分文件,以降低受害者的警惕心。不少样本将存放恶意组件的目录伪装成macOS系统产生的特殊文件夹,比如下面的“**跳动-刘**.zip”和“2023第三季度绩效自评.zip”。
样本行为特点
常见攻击方式
演习中的攻击样本除了以EXE文件直接启动,还频繁使用LNK文件和DLL白利用加载恶意组件。
在Windows文件资源管理器中,即使开启“显示文件类型扩展名”选项,LNK文件的扩展名”.lnk”也不会直接出现在信息界面中,再配合与文件名称相符的图标,使得攻击者生成的LNK文件极具迷惑性。
由于Windows加载动态链接库 (DLL) 的规则,可执行程序首先将在当前目录中查找需要的DLL。攻击者利用该特点可以实现DLL文件劫持,借助正常EXE程序加载自己编写的放置在特定目录(比如当前目录)下的DLL文件,进而执行其中的恶意行为。而且有些合法的应用程序带有数字签名,因此可能被安全防护软件所信任而绕过设置的白名单。
红雨滴云沙箱内置的RAS引擎检测到大量使用LNK文件和DLL白利用进行攻击的样本。
行为伪装
为了避免引起受害者怀疑,有些样本运行时会执行一些行为伪装成正常的文件或应用程序,常见的有打开诱饵文档。
其他伪装行为还有:
(1)模拟程序出现异常而报错,下面的样本通过主动创建WerFault.exe进程迷惑受害者;
(2)将后续组件仿照合法系统文件名进行命名,比如借用远程桌面连接程序的名称mstsc.exe;
(3)或者是访问正常域名。
网络通信
不少样本通过云服务域名或者IP直连完成网络通信,而另一些样本则采用域前置的手法将网络通信流量伪装为合法流量,同时隐藏真实C2服务器。
攻击者实现域前置网络通信的过程大致如下。如果一个真实存在的域名A通过CDN进行加速,那么攻击者可以在同一个CDN服务商中将C2与自己选择的域名B进行绑定,而域名B不一定真实存在,也不一定和攻击者有关,只要它没在CDN服务商处被其他用户绑定。因为CDN节点会根据HTTP请求首部的Host字段转发到绑定的IP,所以如果攻击者在Host字段填入绑定自己IP的域名B,而向域名A发起请求,网络通信数据实际上会被发送到CDN服务器节点,进而转发到攻击者控制的IP。
使用域前置手法的样本所用域名也各式各样,有借用地方政府域名完成伪装的;
也有利用正常的企业域名绕过流量检测的;
还有用伪装为安全厂商相关的域名进行恶意流量隐藏的;
沙箱检测
为了对抗沙箱分析,样本使用多种手段检测运行环境是否为真实受害主机,包括但不限于检测语言、检测CPU数量、检测内存大小、检测样本的文件路径、检测访问特定网站获取的内容中是否包含指定字符串,检测网络出口IP等。
云沙箱在演习后期捕获到多个会检测运行环境公网IP的攻击样本,这些样本在其他环境检测通过后,向IP查询网站发起网络请求,以获取主机的公网IP,然后比较其是否在内置的IP黑名单中。下图是某样本用于检测网络出口IP时使用的IP黑名单。
样本代码特点
编程语言多样化
红雨滴云沙箱捕获的演习攻击样本涉及多种编程语言,包括C/C++、C#、Go、Python、Rust、Lua等。其中一些样本通过语言新版特性和对样本文件本身进行处理,使相关分析工具失效,避免直接暴露源码,或是借助一些跨语言调用机制,加大分析难度。
比如Go样本通过Cgo实现与C/C++代码之间的交互。
有些PyInstaller打包的样本则利用Python反编译工具暂不支持处理新版Python中的某些指令码,使其无法完整恢复出源码,或者通过Nuitka将自定义的Python库代码转换为调用Python-C接口的C/C++模块。
加壳与混淆
加壳与代码混淆是恶意样本用来保护代码逻辑的常用手段。比如样本“团队个人业绩提成分红核对.exe”利用VMProtect进行保护,后续释放的白加黑组件也同样加了VMProtect保护壳。
一些样本则通过花指令和控制流平坦化等代码混淆方法隐藏其核心逻辑代码。
多层解码与内存执行
为了绕过终端防护软件对恶意代码的检测,攻击样本往往通过各种方式解码并内存加载执行最终载荷。以下几个样本所用手法比较有代表性。
(1)资源数据载荷自解密
(2)文件数据解密出后续载荷
(3)从字符串和其他数据中恢复后续载荷
Exec执行的代码如下所示,shellcode以加密方式存放在PEM文件内容中,对其解密后,借助ctypes调用Windows API执行shellcode。
漏洞利用
总结
防护建议
若需运行,安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱视角看攻防:演习攻击样本手法总结
