概述
奇安信威脅情報中心基於紅雨滴雲沙箱部署的攻擊狩獵流程正自動化地不停捕獲可疑樣本。在接下來的時間,紅雨滴雲沙箱將不時公開我們捕獲並關聯到的相關的樣本(文末提供部分IOC)。這些樣本都會被投入紅雨滴雲沙箱進行分析以輔助研判,最終通過紅雨滴雲沙箱報告以輔助分析人員進行研判。通過第3節表中的沙箱連結即可點選查看感興趣的演習相關樣本,有任何沙箱分析問題可以通過紅雨滴雲沙箱-人工分析服務進行反饋。
8.10日演習相關樣本資訊
域前置已經成為攻擊方隱藏C2的一種常用手法,攻擊方通過CDN伺服器進行網路通訊資料轉發從而實現對真實C2的隱藏。最近幾日紅雨滴雲沙箱捕獲的攻擊樣本中就包括利用地方政府域名進行偽裝的域前置木馬。
部分演習相關樣本紅雨滴雲沙箱報告連結
近期捕獲到的演習相關樣本部分紅雨滴雲沙箱分析報告列表:
|
樣本名稱 |
MD5 |
紅雨滴雲沙箱報告連結 |
備註 |
|
Windows Exproler |
041b8a2cf55913a8aeaf23ab6e9cbd8f |
紅雨滴雲沙箱報告[2] |
域前置木馬 |
|
Tasks.rar |
5e54dc0b6f24d0fdbf99b633a5f6560c |
紅雨滴雲沙箱報告[3] |
壓縮包中可執行檔案為域前置木馬 |
案例:利用政府域名偽裝的攻擊樣本分析
樣本基本資訊
|
紅雨滴雲沙箱報告連結 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnaeBZXCf0-QUp-8q-C |
|
樣本檔案名 |
Windows Exproler |
|
樣本MD5 |
041b8a2cf55913a8aeaf23ab6e9cbd8f |
|
樣本類型 |
PE64 Executable for MS Windows (EXE) |
|
樣本大小 |
5106842位元組 |
|
RAS檢測結果 |
neutral-lang |
|
樣本基因特徵 |
HTTP通訊 C&C 探針 檢測虛擬機器 解壓執行 竊密軟體 |
使用紅雨滴雲沙箱分析樣本
通過訪問紅雨滴雲沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱進行輔助分析。
紅雨滴雲沙箱分析入口
在上傳待分析檔案後,可以手動設置沙箱分析參數:分析環境(作業系統)、分析時長等。由於紅雨滴雲沙箱針對各類樣本已經進行了智慧化判定,所以基本上以默認方式提交檢測即可。點選「開始分析」按鈕後,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。
上傳分析完成後,通過概要資訊可看到該樣本的基本資訊:包括hash、檔案類型、檔案大小等。可見紅雨滴雲沙箱基於智慧的惡意行為綜合判斷已經識別出檔案可疑並給出了10分的惡意評分,通過概要資訊的檔案信譽檢測資訊可見樣本已被雲端打上了惡意標籤。
紅雨滴雲沙箱提供Restful API接口,可將深度惡意檔案檢查能力集成到企業安全運營系統或安全廠商產品中,進行惡意檔案檢測。通過點選導航欄的AV引擎可以看到樣本的殺軟引擎檢測結果。
點選右側導航欄的靜態分析功能,在檔案基本資訊部分展示了檔案圖示。可以看到檔案以Word圖示進行偽裝。
沙箱報告的行為異常功能顯示樣本運行後會釋放名為「個人簡歷.docx」的文件。
查看紅雨滴雲沙箱主機行為功能的進程資訊,可以看到樣本釋放該文件後會將其打開,此舉常被攻擊者用來迷惑受害者。
運行截圖顯示打開的文件帶有密碼保護。
網路行為顯示樣本會嘗試解析某個地方政府域名(video.youxian.gov.cn),該域名經過CDN加速,發起的HTTPS請求中連接的IP(42.202.218.128)實際為CDN伺服器IP之一。
紅雨滴雲沙箱對HTTPS流量自動解密,因此可以看到HTTP請求的詳細Header資訊,其中Host欄位設置為「search.karesse.com[.]cn」用於CDN轉發,Referer欄位用」https://www.baidu.com/」進行偽裝。
經過沙箱輔助分析,解讀分析報告後,我們對該樣本的整體行為有了初步了解:該樣本以Word圖示進行偽裝,運行後釋放誘餌文件迷惑受害者,並採用域前置技術將網路通訊資料偽裝為連接政府域名的合法流量。
雲沙箱關聯分析
得到相關網路行為資訊後,我們可以利用雲沙箱高級搜尋功能對樣本進行關聯分析。紅雨滴雲沙箱提供有強大的IOC資訊關聯查詢功能(紅雨滴雲沙箱高級搜尋也提供了相同的功能入口),雲沙箱報告的多個元素都支持TI及關聯查詢的功能。比如,在沙箱報告解析域名和會話IP的右側,便有TI查詢和關聯查詢兩種查詢功能按鈕。
通過點選解析域名資訊右側的對角圓圈圖示(關聯查詢)可以直接得到訪問相同域名的樣本列表。
也可以利用沙箱首頁的高級搜尋功能進行關聯,點選首頁中的搜尋選項卡中的高級搜尋按鈕。
再選擇動態行為domain,填入訪問的域名: video.youxian.gov.cn,進行搜尋關聯,可以發現其他同源的攻擊樣本。
部分IOC資訊
MD5:
041b8a2cf55913a8aeaf23ab6e9cbd8f
5e54dc0b6f24d0fdbf99b633a5f6560c
域名:
video.youxian.gov.cn(正常域名,用於CDN隱藏通訊)
關於紅雨滴雲沙箱
紅雨滴雲沙箱是威脅情報中心紅雨滴團隊基於多年的APT高級攻防對抗經驗、安全大資料、威脅情報等能力,使用軟、硬體虛擬化技術開發實現的真正的「上帝模式」高對抗沙箱,協助奇安信威脅情報中心及相關安服和客戶發現了多個在野0day漏洞攻擊、nday漏洞攻擊,和無數計的APT攻擊線索及樣本,是威脅情報資料產出的重要基石。
威脅情報中心紅雨滴雲沙箱在兩年多以前即被威脅分析廠商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
紅雨滴雲沙箱已集成VirusTotal
並且,紅雨滴雲沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產品之一,部分高危樣本可以通過點選BEHAVIOR選項卡查看到VirusTotal-紅雨滴雲沙箱的分析報告[1]。
VirusTotal樣本動態分析結果中集成的紅雨滴雲沙箱分析結果
參考連結
[1]. https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip [2]. https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnaeBZXCf0-QUp-8q-C [3]. https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnbKZ55Cf0-QUp-8rjL點選閱讀原文至ALPHA 6.0
即刻助力威脅研判