概述
8.14日演习相关样本信息
近期捕获的钓鱼邮件有:“中国金融期货交易所-业务流程审批问题.eml”、“金融期货信息系统(FFIS)登录显示系统崩溃问题反馈.eml”。两封钓鱼邮件的接收方为多家金融机构的数十个邮箱,附件压缩包中带有同一个可执行文件,只是文件名不同。
其他演习相关的恶意样本还包括:伪装为Flash Player安装包的自解压文件“flashplayerpp_install_cn_web.exe”、用于内网攻击的LNK文件“新增专项..一览表.xlsx.download”等。
部分演习相关样本红雨滴云沙箱/邮件检测报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱/邮件检测报告链接 |
备注 |
|
中国金融期货交易所-业务流程审批问题.eml |
bec1f71138c4537c750b5e9bd0cf7aec |
红雨滴邮件检测报告[1] |
钓鱼邮件 |
|
金融期货信息系统(FFIS)登录显示系统崩溃问题反馈.eml |
900ad3f9d5367fc8515ef0abbd1cb193 |
红雨滴邮件检测报告[2] |
钓鱼邮件 |
|
中国金融期货交易所-业务流程审批问题.exe, |
218ed8a350559707f1651d142328dc9b |
红雨滴邮件检测报告[3] |
附件压缩包中的恶意程序 |
|
flashplayerpp_install_cn_web.exe |
f5194961f076bb296f9fc4f556ce6c63 |
红雨滴邮件检测报告[4] |
SFX自解压文件,包含域前置木马 |
|
新增专项..一览表.xlsx.download |
8838bd2b253ec9bde9b8ed1a29e5a495 |
红雨滴邮件检测报告[5] |
LNK文件 |
案例:针对金融行业的群发钓鱼邮件攻击分析
样本基本信息
|
红雨滴邮件检测报告链接 |
https://ares.ti.qianxin.com/ares/tools/maildetails/655ffabea215f33cc526565a5f9f89136ea57d33?istextshow=true |
|
原始邮件文件名 |
中国金融期货交易所-业务流程审批问题 |
|
样本MD5 |
bec1f71138c4537c750b5e9bd0cf7aec |
|
邮件类型 |
Email File |
|
邮件主题 |
中国金融期货交易所-业务流程审批问题 |
|
收件人邮箱 |
inst*****@*****.com.cn, info@****.com.cn等 |
|
发件人邮箱 |
h***@163.com |
|
红雨滴邮件检测报告链接 |
https://ares.ti.qianxin.com/ares/tools/maildetails/a926a7aabf48eb78340432578d457290dc81ac97?istextshow=true |
|
原始邮件文件名 |
金融期货信息系统(FFIS)登录显示系统崩溃问题反馈 |
|
样本MD5 |
900ad3f9d5367fc8515ef0abbd1cb193 |
|
邮件类型 |
Email File |
|
邮件主题 |
金融期货信息系统(FFIS)登录显示系统崩溃问题反馈 |
|
收件人邮箱 |
info@****.com.cn, c****@*****.cn等 |
|
发件人邮箱 |
h***@163.com |
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnt98F_9kNObtGx144R |
|
邮件附件样本文件名 |
中国金融期货交易所-业务流程审批问题.exe |
|
样本MD5 |
218ed8a350559707f1651d142328dc9b |
|
样本类型 |
PE64 Executable for MS Windows (EXE) |
|
样本大小 |
2413056字节 |
|
RAS检测结果 |
neutral-lang |
|
样本基因特征 |
联网行为 检测沙箱 C&C icmp流量 检测虚拟机 探针 解压执行 HTTP通信 |
使用红雨滴云沙箱×红雨滴邮件检测分析样本
首先,使用TI账户登录威胁情报中心威胁分析平台(https://ti.qianxin.com/)后,点击阿瑞斯武器库,选择邮件批量自动化检测,即可拖拽投递需要分析的邮件样本文件:
也可以直接访问邮件威胁检测入口(https://ares.ti.qianxin.com/ares/tools/mail)上传待分析的原始邮件。
在上传待分析邮件后,等待数秒。一旦邮件分析完成,将自动跳转到历史记录页面。历史记录页面可以看到自己投递的历史邮件总览。
邮件威胁检测的分析记录由邮件原文与检测详情组成,在历史记录界面点击详情按钮将会默认跳转到邮件原文页面。在邮件原文页面可以看到邮件的基础信息(发件人、收件人、发送时间、附件个数)、正文与附件。
检测详情页面由检测结果、邮件威胁情报汇总、邮件头部检测结果、邮件正文检测结果与邮件附件检测结果组成。在检测结果处,会展示基础信息、恶意级别以及恶意标签等。此次邮件样本检测详情如下。
在邮件原文中可以看到邮件的基本信息,两封钓鱼邮件原文内容分别如下。
检测详情中可以看到邮件已被标为恶意,并带上了相关恶意标签。
在检测详情下面列出的邮件附件中,可以选择将附件样本投递红雨滴云沙箱进行分析。投递完成后刷新页面,会出现对应的沙箱报告链接。
用户还可以手动将附件投递到红雨滴云沙箱进行动态分析,通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。
根据静态分析的信息,可以看到文件使用了Flash Player图标进行伪装。
红雨滴云沙箱会记录样本文件的可疑行为,通过行为异常记录的信息可以看到样本在运行后向特定IP发起HTTP GET和POST请求。
在主机行为的行为分析图中我们也可以看到样本与IP地址124.71.5[.]184建立连接。
网络行为的会话信息和HTTP部分显示,样本与124.71.5[.]184的443端口进行HTTPS通信,并与该IP的27150端口进行UDP通信。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本作为钓鱼邮件的附件以广撒网的方式投递给多家金融机构的接收者,并对文件名称和图标进行伪装,诱使受害者点击,在运行后会与攻击者的C2服务器建立通信。
部分IOC信息
bd056da1d2b61110e04f7ccecd80cabd (邮件附件压缩包)
9dcec79356c0b14ef894faafacb3265d (邮件附件压缩包)
218ed8a350559707f1651d142328dc9b
f5194961f076bb296f9fc4f556ce6c63
8838bd2b253ec9bde9b8ed1a29e5a495
域名:
api.qianxin.com.cdn.dnsv1.com.cn (正常域名,用于CDN隐藏通信)
IP:
124.71.5[.]184:443/27150
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[1].https://ares.ti.qianxin.com/ares/tools/maildetails/655ffabea215f33cc526565a5f9f89136ea57d33?istextshow=true
[2].https//ares.ti.qianxin.com/ares/tools/maildetails/a926a7aabf48eb78340432578d457290dc81ac97?istextshow=true
[3].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnt98F_9kNObtGx144R
[4].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnx8Z599kNObtGx15zb
[5].https//sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnxprEJ9kNObtGx15xI
[6].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:针对金融行业的群发钓鱼邮件攻击分析
