概述
奇安信威脅情報中心基於紅雨滴雲沙箱部署的攻擊狩獵流程正自動化地不停捕獲可疑樣本。在接下來的時間,紅雨滴雲沙箱將不時公開我們捕獲並關聯到的相關的樣本(文末提供部分IOC)。這些樣本都會被投入紅雨滴雲沙箱進行分析以輔助研判,最終通過紅雨滴雲沙箱報告以輔助分析人員進行研判。通過第3節表中的沙箱連結即可點選查看感興趣的演習相關樣本,有任何沙箱分析問題可以通過紅雨滴雲沙箱-人工分析服務進行反饋。
8.12日演習相關樣本資訊
Windows快捷方式(即LNK檔案)除了方便使用者快速訪問檔案和目錄,也常被攻擊者用來作為啟動惡意程式碼的載體。即使Windows檔案資源管理器開啟了「顯示檔案類型副檔名」選項,LNK檔案的副檔名」.lnk」也不會直接出現在檔案資源管理器的界面中,再配合與檔案名稱相符的圖示,使得攻擊者生成的LNK檔案極具迷惑性。
紅雨滴雲沙箱近期捕獲的與演習相關的惡意樣本包括:「**跳動-劉**.zip」,「***保險Java資深研發工程師招聘需求.pdf.exe」等。其中「**跳動-劉**.zip」通過誘使受害者點選壓縮包中偽裝成簡歷文件的LNK檔案觸發放置在解壓檔案夾其他位置的木馬程序,攻擊方隱藏木馬程序沒有采用常見的設置檔案隱藏屬性這一方式,而是使用帶有特殊名稱且多層嵌套的檔案夾。
部分演習相關樣本紅雨滴雲沙箱報告連結
近期捕獲到的演習相關樣本部分紅雨滴雲沙箱分析報告列表:
|
樣本名稱 |
MD5 |
紅雨滴雲沙箱報告連結 |
備註 |
|
**跳動-劉**.zip |
f251ed6259557518dd18b3c28d686b25 |
紅雨滴雲沙箱報告[4] |
Zip壓縮包,惡意LNK檔案 |
|
***保險Java資深研發工程師招聘需求.pdf.exe |
2e11614ce5942cc389ae657cde963196 |
紅雨滴雲沙箱報告[3] |
Cobalt Strike木馬 |
|
00ED693EE39421103AC4A3AABE39B92B.exe |
00ed693ee39421103ac4a3aabe39b92b |
紅雨滴雲沙箱報告[2] |
Cobalt Strike木馬 |
案例:Zip壓縮包攜帶LNK檔案的攻擊樣本分析
樣本基本資訊
|
紅雨滴雲沙箱報告連結 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkSopo9kNObtGx12-O |
|
樣本檔案名 |
**跳動-劉**.zip |
|
樣本MD5 |
f251ed6259557518dd18b3c28d686b25 |
|
樣本類型 |
Compressed Archive File in zip Format |
|
樣本大小 |
7341664位元組 |
|
RAS檢測結果 |
Contain_PE64 ZIP_LNK(攜帶LNK檔案的Zip壓縮包) en-US neutral-lang zh-CN |
|
樣本基因特徵 |
持久化 檢測沙箱 檢測虛擬機器 解壓執行 漏洞利用 HTTP通訊 shellcode 探針 |
使用紅雨滴雲沙箱分析樣本
通過訪問紅雨滴雲沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱進行輔助分析。
紅雨滴雲沙箱分析入口
在上傳待分析檔案後,可以手動設置沙箱分析參數:分析環境(作業系統)、分析時長等。由於紅雨滴雲沙箱針對各類樣本已經進行了智慧化判定,所以基本上以默認方式提交檢測即可。點選「開始分析」按鈕後,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。
上傳分析完成後,通過概要資訊可看到該樣本的基本資訊:包括hash、檔案類型、簽名等。可見紅雨滴雲沙箱基於智慧的惡意行為綜合判斷已經識別出檔案可疑並給出了10分的惡意評分,並且紅雨滴雲沙箱的RAS引擎準確識別出了樣本中包含的攻擊技術和相關特性:攜帶LNK檔案的Zip壓縮包。
點選右側導航欄的深度解析功能,在流檔案資訊部分展示了壓縮包中包含的檔案,這些檔案的詳細資訊默認全部展開,可以點選右上角的「全部收起」顯示概要資訊。根據檔案列表,壓縮包中有一個以文件命名的LNK檔案、一份Word文件以及放置在多層「.__MACOS__」目錄(仿照macOS系統的檔案夾名稱)下的可執行檔案。
在主機行為功能的進程資訊中,可以看到LNK檔案在運行後會啟動壓縮包中的可執行檔案aps.exe。
主機行為功能的行為分析圖顯示,aps.exe會執行一些異常行為,併發起網路通訊。
網路行為的資訊表明該樣本使用了域前置手法隱藏真實C2伺服器。域名events02.huawei[.]com經過CDN加速,通訊IP實際為CDN伺服器的IP之一,而攻擊者使用Host欄位填入的updated.microsoft[.]com進行網路流量轉發。
經過沙箱輔助分析,解讀分析報告後,我們對該樣本的整體行為有了初步了解:該樣本通過誘使受害者點選Zip壓縮包中的LNK檔案,進而啟動位於壓縮包其他位置的木馬程序,並通過域前置手法進行網路流量偽裝和對真正C2伺服器的隱藏。
雲沙箱關聯分析
得到相關網路行為資訊後,我們可以利用雲沙箱高級搜尋功能對樣本進行關聯分析。紅雨滴雲沙箱提供有強大的IOC資訊關聯查詢功能(紅雨滴雲沙箱高級搜尋也提供了相同的功能入口),雲沙箱報告的多個元素都支持TI及關聯查詢的功能。比如,在沙箱報告解析域名和會話IP的右側,便有TI查詢和關聯查詢兩種查詢功能按鈕。
通過點選解析域名資訊右側的對角圓圈圖示(關聯查詢)可以直接得到訪問相同域名的樣本列表。
可以看到關聯樣本中還包括了多個以「採購需求」「採購計劃」為誘餌的攻擊樣本。
部分IOC資訊
MD5:
f251ed6259557518dd18b3c28d686b25
2e11614ce5942cc389ae657cde963196
00ed693ee39421103ac4a3aabe39b92b
域名:
events02.huawei.com(正常域名,用於CDN隱藏通訊)
cdn.bbq778.live
service-q07ntsqs-1301775575.gz.apigw.tencentcs.com (雲服務)
關於紅雨滴雲沙箱
紅雨滴雲沙箱是威脅情報中心紅雨滴團隊基於多年的APT高級攻防對抗經驗、安全大資料、威脅情報等能力,使用軟、硬體虛擬化技術開發實現的真正的「上帝模式」高對抗沙箱,協助奇安信威脅情報中心及相關安服和客戶發現了多個在野0day漏洞攻擊、nday漏洞攻擊,和無數計的APT攻擊線索及樣本,是威脅情報資料產出的重要基石。
威脅情報中心紅雨滴雲沙箱在兩年多以前即被威脅分析廠商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
紅雨滴雲沙箱已集成VirusTotal
並且,紅雨滴雲沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產品之一,部分高危樣本可以通過點選BEHAVIOR選項卡查看到VirusTotal-紅雨滴雲沙箱的分析報告[1]。
VirusTotal樣本動態分析結果中集成的紅雨滴雲沙箱分析結果
參考連結
[1].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip [2].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnknrvxCf0-QUp-8tbS [3].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkptgm9kNObtGx13J2 [4].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkSopo9kNObtGx12-O點選閱讀原文至ALPHA 6.0
即刻助力威脅研判