概述
8.21日演习相关样本信息
另外值得一提的是,样本“蓝队**工具箱——zhzyker作品.exe”在沙箱执行过程中,执行了来自攻击者的"whoami"命令,这显示出攻击者对战果的高度关注。
部分演习相关样本红雨滴云沙箱报告链接
样本名称 | MD5 | 红雨滴云沙箱报告链接 | 备注 |
蓝队**工具箱——zhzyker作品.exe | ca5d775c33c0f9323a9926746a5a3a18 | 红雨滴云沙箱报告[1] | Pyinstaller打包 |
中车系统更新程序v2.2.10115.exe | ff9b9af30eaa6fcef19c2591b71891f9 | 红雨滴云沙箱报告[2] | Pyinstaller打包 |
关于公司王某、徐某某、张某等多人在国家演练期间的违反公司规定的情况通报.exe | 84366d6dc5ad5bd00c82c2f468ebfb99 | 红雨滴云沙箱报告[3] | C#,Metasploit shellcode |
开展OA弱口令排查的紧急通知.zip | 0dea092f361bedb9c800803e933e80ad | 红雨滴云沙箱报告[4] | 白利用 |
新员工信息登录表.rar | 4896e4880779bee39de260c38b1106a5 | 红雨滴云沙箱报告[5] | CobaltStrike |
终端敏感信息排查工具.msi | c944bc16ba05ffa886bd2103070bf477 | 红雨滴云沙箱报告[6] | MSI文件 Lua脚本,Metasploit shellcode |
案例:Pyinstaller打包的攻击样本分析
样本基本信息
红雨滴云沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV1AsMa5r8RybxhQI1 |
样本文件名 | 蓝队**工具箱——zhzyker作品.exe |
样本MD5 | ca5d775c33c0f9323a9926746a5a3a18 |
样本类型 | PE64 Executable for MS Windows (EXE) |
样本大小 | 6343295字节 |
RAS检测结果 | Contain_PE64 Signed_PE en-US neutral-lang |
样本基因特征 | 可疑命令行 可疑程序 隐藏自身 检测沙箱 探针 解压执行 检测虚拟机 联网行为 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。可见只有yara-beta引擎报毒,免杀效果较好。
点击右侧导航栏的深度解析功能,在流文件信息部分展示了文件中的所有流文件,这些流文件的详细信息默认全部展开,可以点击右上角的“全部收起”显示概要信息。从流文件信息中各种带有“py”的文件名,可以看出该EXE文件很可能是通过Python打包生成。
主机行为功能的行为分析图显示,样本会执行一些可疑行为,并发起网络通信。
在主机行为中可以看到程序的进程链。
网络行为显示样本与43.143.151.82:6677进行通信。
样本分析
沙箱的动态分析为我们提供了关于该攻击样本的一些行为信息,以此为基础我们可以更进一步对样本的恶意功能进行探究。
对样本使用工具解包及反编译核心pyc文件后,得到如下Python代码。对数据进行异或处理,并转为字符串,然后调用内置函数exec执行。
Exec执行的代码如下所示,shellcode以加密方式存放为PEM文件内容,对其解密后,借助ctypes调用Windows API执行shellcode。
Shellcode由Metasploit生成,连接43.143.151.82的6677端口。
部分IOC信息
ca5d775c33c0f9323a9926746a5a3a18
ff9b9af30eaa6fcef19c2591b71891f9
84366d6dc5ad5bd00c82c2f468ebfb99
0dea092f361bedb9c800803e933e80ad
4896e4880779bee39de260c38b1106a5
c944bc16ba05ffa886bd2103070bf477
域名和IP:
43.143.151.82:6677
106.75.229.225:443
nbpmkova.qianxinclouds.com
service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com (云服务)
121.43.187.93:4433
175.178.242.201:9878
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[7]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXPAR4Cf0-QUp-84d3
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV-qWqa5r8RybxhQKH
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXQcRT9kNObtGx2Bhq
[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoSGwSJCf0-QUp-83ia
[6].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoW1SPga5r8RybxhQRK
[7].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判