红雨滴云沙箱：揪出隐藏的内鬼“DLL白利用”

逆向病毒分析 1年前 (2023) admin

282 0 0

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间，红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本（文末提供部分IOC）。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.15日演习相关样本信息

杀软进行安全防护时一般会对进程链进行判断，而白程序加载其运行所需的DLL、资源、文件等无可厚非，因此杀软通常对已知的合法程序进程链存在一些放行操作。然而，由于白程序的导入表中只包含DLL名称而不包含路径，因此白程序在加载DLL时需要在磁盘上搜索DLL文件，并首先尝试从当前程序所在的目录加载。这种情况下，如果攻击者编写的恶意软件与白程序位于同一目录或指定的目录下，就可能导致DLL劫持的问题。由于加载的程序是已知的白程序，绕过了一些杀软的查杀，所以我们通常也将该手法称为白利用。

在DLL白利用中，攻击者借助于白程序加载并运行放置在特定目录下的DLL文件，借此绕过某些安全检测和防御机制，从而在受害系统中执行恶意行为，如窃取敏感信息、植入后门、执行远程命令等。

红雨滴云沙箱近期捕获的一些白利用样本包括：“2023第三季度绩效自评.zip”，“***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar”，“招标投诉反馈附件.zip”，“关于上海中检内部疫情谣言控制的通知.zip”等。其中“2023第三季度绩效自评.zip”通过诱使受害者点击压缩包中伪装成文档的LNK文件触发放置在解压文件夹其他位置的木马程序，并且攻击方对放置木马程序的文件夹设置了隐藏属性，加上LNK文件的扩展名”.lnk”也不会直接出现在文件资源管理器的界面中，再配合与文件名称相符的图标，使得攻击者生成的LNK文件极具迷惑性。

而LNK文件直指隐藏文件夹中的白程序。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表：

样本名称	MD5	红雨滴云沙箱报告链接	备注
2023第三季度绩效自评.zip	d0eb7f2597b03bfc79bba90dfadcc53c	红雨滴云沙箱报告^[2]	白利用
***以学铸魂、以学增智、以学正风、以学促干有关重要论述.rar	31e1ac11ba92dfb849afd98c7e8295bc	红雨滴云沙箱报告^[3]	白利用
招标投诉反馈附件.zip	6d906d36bc92aaef2809ae8645a169d9	红雨滴云沙箱报告^[4]	白利用
关于上海中检内部疫情谣言控制的通知.zip	28c791891b0609297b8d1b72c5c8ae6a	红雨滴云沙箱报告^[5]	白利用

案例：白利用的攻击样本分析

样本基本信息

红雨滴云沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn38Tlq9kNObtGx160K
样本文件名	2023第三季度绩效自评.zip
样本MD5	d0eb7f2597b03bfc79bba90dfadcc53c
样本类型	Compressed Archive File in zip Format
样本大小	611562字节
RAS检测结果	Contain_PE64 Maybe_Sideloading Signed_PE ZIP_LNK en-US neutral-lang
样本基因特征	解压执行检测沙箱探针检测虚拟机 HTTP通信持久化

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分，并且红雨滴云沙箱的RAS引擎准确识别出了样本中包含的攻击技术和相关特性：携带LNK文件的Zip压缩包、以及疑似侧加载。

点击右侧导航栏的深度解析功能，在流文件信息部分展示了压缩包中包含的文件，这些文件的详细信息默认全部展开，可以点击右上角的“全部收起”显示概要信息。

流文件信息中可以看到白程序和隐藏的恶意dll文件。

主机行为功能的行为分析图显示，qc.exe会执行一些异常行为，并发起网络通信。

点击主机行为的进程信息中列出的qc.exe进程，会展示该进程执行的各类行为，在“加载的DLL列表”中可以发现该程序会加载解压文件夹中的WTSAPI32.dll文件。

网络行为显示样本与一个云服务域名建立HTTPS通信。

经过沙箱辅助分析，解读分析报告后，我们对该样本的整体行为有了初步了解：该样本通过诱使受害者点击Zip压缩包中的LNK文件，进而启动位于压缩包其他位置的白程序，白程序加载恶意的dll文件，借此绕过某些安全检测和防御机制，从而在受害系统中执行恶意行为。

云沙箱关联分析

得到相关网络行为信息后，我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能（红雨滴云沙箱高级搜索也提供了相同的功能入口），云沙箱报告的多个元素都支持TI及关联查询的功能。比如，在沙箱报告解析域名和会话IP的右侧，便有TI查询和关联查询两种查询功能按钮。

通过点击解析域名信息右侧的对角圆圈图标（关联查询）可以直接得到访问相同域名的样本列表。

可以看到关联样本中还包括了多个被打上Maybe_Sideloading和CobaltStrike的攻击样本。

部分IOC信息

MD5：

d0eb7f2597b03bfc79bba90dfadcc53c

31e1ac11ba92dfb849afd98c7e8295bc

6d906d36bc92aaef2809ae8645a169d9

28c791891b0609297b8d1b72c5c8ae6a

域名和IP:

service-9x1z4419-1319756492.sh.apigw.tencentcs.com（云服务）

121.43.187.93:4433

static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com （域前置）

106.15.230.1:8443

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成：https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[1]。

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn38Tlq9kNObtGx160K

[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn39dFJa5r8RybxhIB_

[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn39VNVCf0-QUp-8xzX

[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn4AOjxa5r8RybxhICQ

点击阅读原文至ALPHA 6.0

即刻助力威胁研判