概述
长期以来,360混天零实验室(360 HuntingZero Lab)通过360沙箱云“高级威胁狩猎平台”持续捕获可疑样本。为了提升广大用户的安全意识,践行网络安全强国战略,360沙箱云将不定时发布可疑样本中的“非典型”、“热点”样本的分析结果并解析其攻击手段,帮助大家了解攻击手段的同时增加大家安全防范意识。我们将采用沙箱云分析安全专家解读的方式,为大家呈现全面完整的攻击手段和过程。
近期,360沙箱云团队接到数个用户的反馈在下载一些日常使用的软件时遇到疑似木马的仿冒软件并请求我们予以分析鉴定,经360沙箱云动态分析和安全专家的鉴定最终确认这些仿冒软件为“银狐”木马。“银狐”木马自今年年初曝光以来一直处于较活跃状态,360沙箱云团队也一直密切关注该木马的发展和动向。最近我们注意到其源码已经出现在互联网上公开售卖并且已发展出了恶意软件及服务的服务方式,这可能造成该木马的进一步传播所以我们预计“银狐”木马在接下来的一段时间里仍然会流行故决定在此对相关样本进行分析并与大家分享。
欢迎大家试用和订阅360沙箱云(360沙箱云 – 专业的高级威胁分析平台,洞悉恶意样本每一行为)进行样本分析或威胁检测,在使用过程中有任何问题都可以通过沙箱云界面右下角的《联系我们》进行反馈沟通。
样本信息
| 文件名称 | 钉钉.exe |
| MD5 | 06db2f******ea98dae9798ab65968dc |
| SHA1 | 7f3711******0b40814d48a8fd71f3f31eede4b9 |
| 沙箱云报告 | https://ata.360.net/report/487815195888640 |
样本来源以下仿冒网站:
使用沙箱云分析案例样本
首先打开浏览器,访问360沙箱云高级威胁分析平台(https://ata.360.net/)并通过账号密码登录360沙箱云高级威胁分析平台。
点击页面中间区域,或直接拖拽样本上传,支持批量上传多个样本,样本上传后,沙箱云将自动识别样本的文件类型并为其选择合适的检测环境(也可手动设置检测环境,目前沙箱云已支持日常使用的所有类型文件的检测包括邮件、压缩包等,投递压缩包时请注意压缩包中的文件的位数),可在样本列表查看样本名、样本大小,如选择错误,可以删除列表中的指定样本,重新上传。URL提交直接输入或粘贴URL即可。
文件提交后,只需稍等2分钟文件分析结束,分析结束后将自动跳转到任务报告页面。分析报告包括:分析概览、静态分析、行为分析、网络分析、释放文件、释放内存、威胁指标,可以切换查看。
分析概览
分析概览包括分析文件的基本信息、智能引擎、静态引擎判定、MITRE ATT&CK技术点检测、行为判定、运行截图、网络概要、行为总览等综合信息。通过左侧基本信息栏我们知道该样本被定性成一个恶意样本(分值0-4.9判定为未发现威胁;5.0-7.4判定为可疑;7.5-10判定为恶意),其中高危指标标签说明在样本运行过程中产生了与已知威胁相关的 IOC。
静态判定
静态引擎判定部分,沙箱云依托360强大的引擎查杀能力使用了4种智能引擎 Avatar、Edda、Miami、Normandy,9种查杀引擎 QEX、AVE、AVM、QVM、AQVM、鲲鹏、黑白文件签名引擎等对文件进行深度检测,但是并没有引擎对该样本进行报毒,原因是编写该木马使用的go语言本身具有一定的免杀效果并且专门做过免杀。
静态指标判定部分,360箱云依托360强大的 TI 情报能力关联出该样本外联的域名和 ip 与已知威胁相关并将其作为高危指标展示,该指标中明确指出该 IOC 与“银狐”木马家族相关。通过签名检测发现该样本使用了本公司的签名,但是是无效签名。
行为判定
行为判定是通过对包括浏览器行为、网络连接、防御逃避、系统活动、进程注入、安装程序、检测逃避、系统安全、命令执行、持久化、信息发现等多方面的行为进行检测、分析、判定得到的结果。行为判定分为三个类别:高危行为(红)、可疑行为(黄)、低危行为(绿)。
通过行为判定我们可以对样本运行期间发生的行为有一个总体的了解,这里我们知道样本运行期间在内存中释放了可执行文件、在环境中写入并执行了文件并且调用了和计划任务相关的 COM 接口进行持久化。
行为分析
行为分析包括行为关系图、进程树、行为判定、行为事件等。其中行为关系图展示任务运行的整个进程关系图,包括进程的网络通信信息、文件释放和进程间父子关系等信息。通过行为关系图,我们能对样本运行过程中的行为有最直观的了解。
结合特定进程的行为判定我们知道内存释放行为发生在子进程 lr38tkUT.exe 中。
网络分析&威胁指标
网络分析展示任务分析过程中,样本外发的各种协议的网络通信记录。包括流量检测、主机、域名、HTTP、HTTPS、TCP、UDP、ICMP、FTP、SMTP、IRC。通过网络分析。威胁指标展示任务分析过程中提取的情报信息,包括情报指标、情报类型、威胁类型、可信指数、严重程度。
通过网络分析与威胁指标我们知道该样本外联的域名与 ip 均与“银狐”木马相关。
释放内存
释放内存展示任务运行过程中在内存中释放的可执行文件的详细信息。通过释放内存我们知道样本运行过程中进行了多次内存释放,且释放的内存中有木马病毒。
安全专家分析
样本整体运行流程:
钉钉.exe 是一个由 go 语言编写的 dropper,编译时去除了符号且关键字符串使用 ROT13 算法加密,此外文件还使用了无效 360 的签名。恢复符号后可在 main_main 函数中发现其主要功能是检测 360tray.exe、360sd.exe 进程,释放后续文件并运行白利用文件 lr38tkUT.exe。
lr38tkUT.exe 是 Indigo Rose Software 公司推出用于自动更新 windows 应用的更新程序,原始文件名为 tu_rt.exe 具有有效签名。其运行后会解压同目录下的压缩文件 lr38tkUT.dat,并加载 zip 文件中的 Lua 脚本(_TUProj.dat)运行。
解压密码:99B2328D3FDF4E9E98559B4414F7ACB9。
Lua 脚本的功能是运行自身携带的 shellcode。
shellcode 运行后将修复 edge.xml 文件的前4字节然后将其在内存中展开运行。
edge.xml 文件实质上是一个“MZ”头被加密的 dll 文件,内存展开后被沙箱 dump 了下来。
edge.xml 功能较为简单,一是使用 COM 接口设置定时任务,二是将 edge.jpg 尾部拼接的“银狐”木马解密出来并在内存展开运行
“银狐”木马没有使用隐写术编辑在图片内,只是异或加密后拼接在了 edge.jpg 文件后。
内存展开的“银狐”木马同样被沙箱 dump 了下来。
最终的“银狐”木马的功能便是窃取信息连接 C2 ,基本与参考文章中的一致这里就不过多赘述。
参考文章
关于沙箱云
360沙箱云是 360 安全情报中心旗下的在线高级威胁分析平台,对提交的文件、URL,经过静态检测、动态分析等多层次分析的流程,触发揭示漏洞利用、检测逃逸等行为,对检测样本进行恶意定性,弥补使用规则查杀的局限性,通过行为分析发现未知、高级威胁,形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案;帮助安全管理员聚焦需关注的安全告警,经过安全运营人员的分析后输出有价值的威胁情报,为企业形成专属的威胁情报生产能力,形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题,沙箱云为用户提供持续跟踪微软已纰漏,但未公开漏洞利用代码的 1day,以及在野 0day 的能力。
360混天零实验室负责高级威胁自动化检测项目和云沙箱技术研究,专注于通过自动化监测手段高效发现高级威胁攻击;依托于 360 安全大数据,多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件,多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢,在野 0day 漏洞的发现能力处于国内外领先地位,为上亿用户上网安全提供安全能力保障。
👇点击查看原文立即体验沙箱云!
原文始发于微信公众号(360威胁情报中心):360沙箱云提醒您:注意防范“银狐”木马
