概述
奇安信威脅情報中心基於紅雨滴雲沙箱部署的攻擊狩獵流程正自動化地不停捕獲可疑樣本。在接下來的時間,紅雨滴雲沙箱將不時公開我們捕獲並關聯到的相關的樣本(文末提供部分IOC)。這些樣本都會被投入紅雨滴雲沙箱進行分析以輔助研判,最終通過紅雨滴雲沙箱報告以輔助分析人員進行研判。通過第3節表中的沙箱連結即可點選查看感興趣的演習相關樣本,有任何沙箱分析問題可以通過紅雨滴雲沙箱-人工分析服務進行反饋。
8.21日演習相關樣本資訊
紅雨滴雲沙箱近期捕獲與演習相關的釣魚郵件和其它攻擊樣本,包括:「關於公司王某、徐某某、張某等多人在國家演練期間的違反公司規定的情況通報.eml」,「藍隊**工具箱——zhzyker作品.exe」,「開展OA弱口令排查的緊急通知.zip」,「新員工資訊登入表.rar」,「終端敏感資訊排查工具.msi」,「中車系統更新程序v2.2.10115.exe」等。其中「藍隊**工具箱——zhzyker作品.exe」,「中車系統更新程序v2.2.10115.exe」等都是通過Pyinstaller打包的python程序,配合與檔案名稱相符的圖示,使得攻擊者生成的exe檔案極具迷惑性。
另外值得一提的是,樣本「藍隊**工具箱——zhzyker作品.exe」在沙箱執行過程中,執行了來自攻擊者的”whoami”命令,這顯示出攻擊者對戰果的高度關注。
部分演習相關樣本紅雨滴雲沙箱報告連結
近期捕獲到的演習相關樣本部分紅雨滴雲沙箱分析報告列表:
|
樣本名稱 |
MD5 |
紅雨滴雲沙箱報告連結 |
備註 |
|
藍隊**工具箱——zhzyker作品.exe |
ca5d775c33c0f9323a9926746a5a3a18 |
紅雨滴雲沙箱報告[1] |
Pyinstaller打包 |
|
中車系統更新程序v2.2.10115.exe |
ff9b9af30eaa6fcef19c2591b71891f9 |
紅雨滴雲沙箱報告[2] |
Pyinstaller打包 |
|
關於公司王某、徐某某、張某等多人在國家演練期間的違反公司規定的情況通報.exe |
84366d6dc5ad5bd00c82c2f468ebfb99 |
紅雨滴雲沙箱報告[3] |
C#,Metasploit shellcode |
|
開展OA弱口令排查的緊急通知.zip |
0dea092f361bedb9c800803e933e80ad |
紅雨滴雲沙箱報告[4] |
白利用 |
|
新員工資訊登入表.rar |
4896e4880779bee39de260c38b1106a5 |
紅雨滴雲沙箱報告[5] |
CobaltStrike |
|
終端敏感資訊排查工具.msi |
c944bc16ba05ffa886bd2103070bf477 |
紅雨滴雲沙箱報告[6] |
MSI檔案 Lua腳本,Metasploit shellcode |
案例:Pyinstaller打包的攻擊樣本分析
樣本基本資訊
|
紅雨滴雲沙箱報告連結 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV1AsMa5r8RybxhQI1 |
|
樣本檔案名 |
藍隊**工具箱——zhzyker作品.exe |
|
樣本MD5 |
ca5d775c33c0f9323a9926746a5a3a18 |
|
樣本類型 |
PE64 Executable for MS Windows (EXE) |
|
樣本大小 |
6343295位元組 |
|
RAS檢測結果 |
Contain_PE64 Signed_PE en-US neutral-lang |
|
樣本基因特徵 |
可疑命令列 可疑程序 隱藏自身 檢測沙箱 探針 解壓執行 檢測虛擬機器 聯網行為 |
使用紅雨滴雲沙箱分析樣本
通過訪問紅雨滴雲沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱進行輔助分析。
紅雨滴雲沙箱分析入口
在上傳待分析檔案後,可以手動設置沙箱分析參數:分析環境(作業系統)、分析時長等。由於紅雨滴雲沙箱針對各類樣本已經進行了智慧化判定,所以基本上以默認方式提交檢測即可。點選「開始分析」按鈕後,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。
上傳分析完成後,通過概要資訊可看到該樣本的基本資訊:包括hash、檔案類型、簽名等。可見紅雨滴雲沙箱基於智慧的惡意行為綜合判斷已經識別出檔案可疑並給出了10分的惡意評分。
紅雨滴雲沙箱提供Restful API接口,可將深度惡意檔案檢查能力集成到企業安全運營系統或安全廠商產品中,進行惡意檔案檢測。通過點選導航欄的AV引擎可以看到樣本的殺軟引擎檢測結果。可見只有yara-beta引擎報毒,免殺效果較好。
點選右側導航欄的深度解析功能,在流檔案資訊部分展示了檔案中的所有流檔案,這些流檔案的詳細資訊默認全部展開,可以點選右上角的「全部收起」顯示概要資訊。從流檔案資訊中各種帶有「py」的檔案名,可以看出該EXE檔案很可能是通過Python打包生成。
主機行為功能的行為分析圖顯示,樣本會執行一些可疑行為,併發起網路通訊。
在主機行為中可以看到程序的進程鏈。
網路行為顯示樣本與43.143.151.82:6677進行通訊。
樣本分析
沙箱的動態分析為我們提供了關於該攻擊樣本的一些行為資訊,以此為基礎我們可以更進一步對樣本的惡意功能進行探究。
對樣本使用工具解包及反編譯核心pyc檔案後,得到如下Python程式碼。對資料進行異或處理,並轉為字串,然後調用內建函數exec執行。
Exec執行的程式碼如下所示,shellcode以加密方式存放為PEM檔案內容,對其解密後,藉助ctypes調用Windows API執行shellcode。
Shellcode由Metasploit生成,連接43.143.151.82的6677埠。
部分IOC資訊
MD5:
ca5d775c33c0f9323a9926746a5a3a18
ff9b9af30eaa6fcef19c2591b71891f9
84366d6dc5ad5bd00c82c2f468ebfb99
0dea092f361bedb9c800803e933e80ad
4896e4880779bee39de260c38b1106a5
c944bc16ba05ffa886bd2103070bf477
域名和IP:
43.143.151.82:6677
106.75.229.225:443
nbpmkova.qianxinclouds.com
service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com (雲服務)
121.43.187.93:4433
175.178.242.201:9878
關於紅雨滴雲沙箱
紅雨滴雲沙箱是威脅情報中心紅雨滴團隊基於多年的APT高級攻防對抗經驗、安全大資料、威脅情報等能力,使用軟、硬體虛擬化技術開發實現的真正的「上帝模式」高對抗沙箱,協助奇安信威脅情報中心及相關安服和客戶發現了多個在野0day漏洞攻擊、nday漏洞攻擊,和無數計的APT攻擊線索及樣本,是威脅情報資料產出的重要基石。
威脅情報中心紅雨滴雲沙箱在兩年多以前即被威脅分析廠商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
紅雨滴雲沙箱已集成VirusTotal
並且,紅雨滴雲沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產品之一,部分高危樣本可以通過點選BEHAVIOR選項卡查看到VirusTotal-紅雨滴雲沙箱的分析報告[7]。
VirusTotal樣本動態分析結果中集成的紅雨滴雲沙箱分析結果
參考連結
[1].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV1AsMa5r8RybxhQI1 [2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXPAR4Cf0-QUp-84d3 [3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV-qWqa5r8RybxhQKH [4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXQcRT9kNObtGx2Bhq [5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoSGwSJCf0-QUp-83ia [6].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoW1SPga5r8RybxhQRK [7].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip點選閱讀原文至ALPHA 6.0
即刻助力威脅研判