红雨滴云沙箱：破解“压缩包+LNK”障眼法

逆向病毒分析 1年前 (2023) admin

237 0 0

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间，红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本（文末提供部分IOC）。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.12日演习相关样本信息

Windows快捷方式（即LNK文件）除了方便用户快速访问文件和目录，也常被攻击者用来作为启动恶意代码的载体。即使Windows文件资源管理器开启了“显示文件类型扩展名”选项，LNK文件的扩展名”.lnk”也不会直接出现在文件资源管理器的界面中，再配合与文件名称相符的图标，使得攻击者生成的LNK文件极具迷惑性。

红雨滴云沙箱近期捕获的与演习相关的恶意样本包括：“**跳动-刘**.zip”，“***保险Java资深研发工程师招聘需求.pdf.exe”等。其中“**跳动-刘**.zip”通过诱使受害者点击压缩包中伪装成简历文档的LNK文件触发放置在解压文件夹其他位置的木马程序，攻击方隐藏木马程序没有采用常见的设置文件隐藏属性这一方式，而是使用带有特殊名称且多层嵌套的文件夹。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表：

样本名称	MD5	红雨滴云沙箱报告链接	备注
跳动-刘.zip	f251ed6259557518dd18b3c28d686b25	红雨滴云沙箱报告^[4]	Zip压缩包，恶意LNK文件
***保险Java资深研发工程师招聘需求.pdf.exe	2e11614ce5942cc389ae657cde963196	红雨滴云沙箱报告^[3]	Cobalt Strike木马
00ED693EE39421103AC4A3AABE39B92B.exe	00ed693ee39421103ac4a3aabe39b92b	红雨滴云沙箱报告^[2]	Cobalt Strike木马

案例：Zip压缩包携带LNK文件的攻击样本分析

样本基本信息

红雨滴云沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkSopo9kNObtGx12-O
样本文件名	跳动-刘.zip
样本MD5	f251ed6259557518dd18b3c28d686b25
样本类型	Compressed Archive File in zip Format
样本大小	7341664字节
RAS检测结果	Contain_PE64 ZIP_LNK（携带LNK文件的Zip压缩包） en-US neutral-lang zh-CN
样本基因特征	持久化检测沙箱检测虚拟机解压执行漏洞利用 HTTP通信 shellcode 探针

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分，并且红雨滴云沙箱的RAS引擎准确识别出了样本中包含的攻击技术和相关特性：携带LNK文件的Zip压缩包。

点击右侧导航栏的深度解析功能，在流文件信息部分展示了压缩包中包含的文件，这些文件的详细信息默认全部展开，可以点击右上角的“全部收起”显示概要信息。根据文件列表，压缩包中有一个以文档命名的LNK文件、一份Word文档以及放置在多层“.__MACOS__”目录（仿照macOS系统的文件夹名称）下的可执行文件。

在主机行为功能的进程信息中，可以看到LNK文件在运行后会启动压缩包中的可执行文件aps.exe。

主机行为功能的行为分析图显示，aps.exe会执行一些异常行为，并发起网络通信。

网络行为的信息表明该样本使用了域前置手法隐藏真实C2服务器。域名events02.huawei[.]com经过CDN加速，通信IP实际为CDN服务器的IP之一，而攻击者使用Host字段填入的updated.microsoft[.]com进行网络流量转发。

经过沙箱辅助分析，解读分析报告后，我们对该样本的整体行为有了初步了解：该样本通过诱使受害者点击Zip压缩包中的LNK文件，进而启动位于压缩包其他位置的木马程序，并通过域前置手法进行网络流量伪装和对真正C2服务器的隐藏。

云沙箱关联分析

得到相关网络行为信息后，我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能（红雨滴云沙箱高级搜索也提供了相同的功能入口），云沙箱报告的多个元素都支持TI及关联查询的功能。比如，在沙箱报告解析域名和会话IP的右侧，便有TI查询和关联查询两种查询功能按钮。

通过点击解析域名信息右侧的对角圆圈图标（关联查询）可以直接得到访问相同域名的样本列表。

可以看到关联样本中还包括了多个以“采购需求”“采购计划”为诱饵的攻击样本。

部分IOC信息

MD5：

f251ed6259557518dd18b3c28d686b25

2e11614ce5942cc389ae657cde963196

00ed693ee39421103ac4a3aabe39b92b

域名:

events02.huawei.com（正常域名，用于CDN隐藏通信）

cdn.bbq778.live

service-q07ntsqs-1301775575.gz.apigw.tencentcs.com （云服务）

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成：https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[1]。

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip

[2].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnknrvxCf0-QUp-8tbS

[3].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkptgm9kNObtGx13J2

[4].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnkSopo9kNObtGx12-O

点击阅读原文至ALPHA 6.0

即刻助力威胁研判