红雨滴云沙箱:李逵还是李鬼?借安全事件处置之名的攻击样本分析
2023-8-16 20:43:29 Author: 奇安信威胁情报中心(查看原文) 阅读量:26 收藏

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间,红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本(文末提供部分IOC)。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判,最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本,有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.16日演习相关样本信息

网络防守方需要及时对发现的安全事件进行处置,而这一点也变成了攻击者的可趁之机。此前红雨滴云沙箱捕获到多个以“安全检查工具”为伪装的恶意样本,近期又发现攻击者借安全事件处置之名向某单位发起定向攻击。我们推测受害单位此前可能已遭受过一轮攻击,使得攻击者借题发挥,仿冒安全厂商处置攻击事件,发起再次进攻的尝试。

红雨滴云沙箱近期捕获的与演习相关的样本包括:“***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar”,“奇安信专杀工具.exe”,“附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe”,“2023年学员培训中心-颁发证书错误异常反馈.exe”等。其中“***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar”通过诱使受害者点击压缩包中伪装成PDF文档的LNK文件运行恶意程序,然后打开诱饵文档,并启动木马。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表:

样本名称

MD5

红雨滴云沙箱报告链接

备注

***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar

eafdce31c94e289e64a1112f54a15318

红雨滴云沙箱报告[1]

带有恶意程序的压缩包

奇安信专杀工具.exe

1914d2f8b4b9a37646f7c765c13cf425

红雨滴云沙箱报告[2]

压缩包中的木马

11.zip

fe4625e080ccaa89d02fdf8c63f17938

红雨滴云沙箱报告[3]

压缩包中的白利用木马

附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe

80de75da2dfdad7f5156532303f3f917

红雨滴云沙箱报告[4]

域前置木马

2023年学员培训中心-颁发证书错误异常反馈.exe

fbcf57bff0c8669621a24b93ba5caed3

红雨滴云沙箱报告[5]

木马

案例:借安全事件处置之名的攻击样本分析

样本基本信息

红雨滴沙箱报告链接

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8VRVHCf0-QUp-8zGW

样本文件名

***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar

样本MD5

eafdce31c94e289e64a1112f54a15318

样本类型

Compressed Archive File in zip Format

样本大小

31254087字节

RAS检测结果

Contain_PE32 Contain_PE64 RAR_LNK Signed_PE en-US neutral-lang

样本基因特征

可疑命令行 检测虚拟机 检测沙箱 探针 漏洞利用 解压执行 可疑程序 持久化

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,并且红雨滴云沙箱的RAS引擎准确识别出了样本中包含的攻击技术和相关特性:携带LNK文件的RAR压缩包

点击右侧导航栏的深度解析功能,在流文件信息部分展示了压缩包中包含的文件,这些文件的详细信息默认全部展开,可以点击右上角的“全部收起”显示概要信息。

流文件信息还会进一步展示每个文件中包含的流信息。比如mbp.tmp文件的详细信息显示其类型为pe_dll,结合它下面出现的upx_64信息,表明它是经过UPX加壳的DLL文件。又比如在PDF文档下会显示该文档的各个流信息。

对于脚本类文件,流文件信息会显示脚本代码。展开aaa.bat文件的详细信息,可以看到该bat脚本的内容:将压缩包的wda.tmp和mbp.tmp复制到指定目录下并重命名,删除LNK文件,打开PDF文档,启动复制的exe程序,最后删除bat脚本自身。

主机行为功能的进程显示,LNK文件运行后启动aaa.bat脚本,修改多个文件的文件属性。

对于压缩包中的文件,可以提取出来单独投递云沙箱,以获得更详细的行为。压缩包的中的wda.tmp和mbp.tmp实际为白利用组件,根据aaa.bat脚本代码将其重命名为Mcods.exe和McVsoCfg.dll,打包后一起投递到云沙箱中(上面列表中的样本”11.zip”,红雨滴云沙箱报告链接见上面列表)。在云沙箱报告的网络行为中可以看到,样本使用域前置方式隐藏真实C2地址,连接经过同一套CDN服务器加速的域名www.yuangit[.]com和www.gzmaijing[.]com,HTTP请求的Host字段设为gf.com.cn进行CDN流量转发。

而压缩包的另一个可执行程序“奇安信专杀工具.exe”(红雨滴云沙箱报告链接见上面列表)也采用相同的网络通信方式。

经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本伪装成安全事件处置报告,而RAR压缩包中的LNK文件带有PDF文档图标,受害者点击LNK文件后启动隐藏文件夹中的bat脚本,该脚本进一步打开诱饵文档迷惑受害者,并运行木马程序与攻击者建立网络通信。

云沙箱关联分析

得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询关联查询两种查询功能按钮。

通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。

可以看到在不久前有同名样本投入云沙箱中,该样本很可能被用于攻击者早些时候的攻击活动。

部分IOC信息

MD5:

eafdce31c94e289e64a1112f54a15318

1914d2f8b4b9a37646f7c765c13cf425

4dc605ef442eccba457c5a707ca9b026 (白利用的黑DLL)

80de75da2dfdad7f5156532303f3f917

fbcf57bff0c8669621a24b93ba5caed3

域名和IP:

www.yuangit.com (CDN域名,用于域前置)

www.gzmaijing.com (CDN域名,用于域前置)

wpscn.live.cdn.dnsv1.com (CDN域名,用于域前置)

123.60.15.81:443

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

 红雨滴云沙箱已集成VirusTotal

并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[6]

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8VRVHCf0-QUp-8zGW

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8c2k4Cf0-QUp-8zHy

[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9JRSB9kNObtGx177S

[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn3kmoY9kNObtGx16yL

[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn37_yda5r8RybxhIBz

[6].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip

点击阅读原文ALPHA 6.0

即刻助力威胁研判


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247507668&idx=1&sn=0148c3ad7f660868cbcccfe80eae856b&chksm=ea6629a3dd11a0b5b2cfe17658ce50bfedeb4dbc889de434be56d222a3eb24be2d9fb439f686&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh