概述
8.16日演习相关样本信息
红雨滴云沙箱近期捕获的与演习相关的样本包括:“***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar”,“奇安信专杀工具.exe”,“附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe”,“2023年学员培训中心-颁发证书错误异常反馈.exe”等。其中“***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar”通过诱使受害者点击压缩包中伪装成PDF文档的LNK文件运行恶意程序,然后打开诱饵文档,并启动木马。
部分演习相关样本红雨滴云沙箱报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar |
eafdce31c94e289e64a1112f54a15318 |
红雨滴云沙箱报告[1] |
带有恶意程序的压缩包 |
|
奇安信专杀工具.exe |
1914d2f8b4b9a37646f7c765c13cf425 |
红雨滴云沙箱报告[2] |
压缩包中的木马 |
|
11.zip |
fe4625e080ccaa89d02fdf8c63f17938 |
红雨滴云沙箱报告[3] |
压缩包中的白利用木马 |
|
附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe |
80de75da2dfdad7f5156532303f3f917 |
红雨滴云沙箱报告[4] |
域前置木马 |
|
2023年学员培训中心-颁发证书错误异常反馈.exe |
fbcf57bff0c8669621a24b93ba5caed3 |
红雨滴云沙箱报告[5] |
木马 |
案例:借安全事件处置之名的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8VRVHCf0-QUp-8zGW |
|
样本文件名 |
***集团钓鱼事件处置方案v1.1_奇安信_20230815.rar |
|
样本MD5 |
eafdce31c94e289e64a1112f54a15318 |
|
样本类型 |
Compressed Archive File in zip Format |
|
样本大小 |
31254087字节 |
|
RAS检测结果 |
Contain_PE32 Contain_PE64 RAR_LNK Signed_PE en-US neutral-lang |
|
样本基因特征 |
可疑命令行 检测虚拟机 检测沙箱 探针 漏洞利用 解压执行 可疑程序 持久化 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,并且红雨滴云沙箱的RAS引擎准确识别出了样本中包含的攻击技术和相关特性:携带LNK文件的RAR压缩包。
点击右侧导航栏的深度解析功能,在流文件信息部分展示了压缩包中包含的文件,这些文件的详细信息默认全部展开,可以点击右上角的“全部收起”显示概要信息。
流文件信息还会进一步展示每个文件中包含的流信息。比如mbp.tmp文件的详细信息显示其类型为pe_dll,结合它下面出现的upx_64信息,表明它是经过UPX加壳的DLL文件。又比如在PDF文档下会显示该文档的各个流信息。
对于脚本类文件,流文件信息会显示脚本代码。展开aaa.bat文件的详细信息,可以看到该bat脚本的内容:将压缩包的wda.tmp和mbp.tmp复制到指定目录下并重命名,删除LNK文件,打开PDF文档,启动复制的exe程序,最后删除bat脚本自身。
主机行为功能的进程显示,LNK文件运行后启动aaa.bat脚本,修改多个文件的文件属性。
对于压缩包中的文件,可以提取出来单独投递云沙箱,以获得更详细的行为。压缩包的中的wda.tmp和mbp.tmp实际为白利用组件,根据aaa.bat脚本代码将其重命名为Mcods.exe和McVsoCfg.dll,打包后一起投递到云沙箱中(上面列表中的样本”11.zip”,红雨滴云沙箱报告链接见上面列表)。在云沙箱报告的网络行为中可以看到,样本使用域前置方式隐藏真实C2地址,连接经过同一套CDN服务器加速的域名www.yuangit[.]com和www.gzmaijing[.]com,HTTP请求的Host字段设为gf.com.cn进行CDN流量转发。
而压缩包的另一个可执行程序“奇安信专杀工具.exe”(红雨滴云沙箱报告链接见上面列表)也采用相同的网络通信方式。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本伪装成安全事件处置报告,而RAR压缩包中的LNK文件带有PDF文档图标,受害者点击LNK文件后启动隐藏文件夹中的bat脚本,该脚本进一步打开诱饵文档迷惑受害者,并运行木马程序与攻击者建立网络通信。
云沙箱关联分析
得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询和关联查询两种查询功能按钮。
通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。
可以看到在不久前有同名样本投入云沙箱中,该样本很可能被用于攻击者早些时候的攻击活动。
部分IOC信息
MD5:
eafdce31c94e289e64a1112f54a15318
1914d2f8b4b9a37646f7c765c13cf425
4dc605ef442eccba457c5a707ca9b026 (白利用的黑DLL)
80de75da2dfdad7f5156532303f3f917
fbcf57bff0c8669621a24b93ba5caed3
域名和IP:
www.yuangit.com (CDN域名,用于域前置)
www.gzmaijing.com (CDN域名,用于域前置)
wpscn.live.cdn.dnsv1.com (CDN域名,用于域前置)
123.60.15.81:443
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[6]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn8c2k4Cf0-QUp-8zHy
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9JRSB9kNObtGx177S
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn3kmoY9kNObtGx16yL
[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn37_yda5r8RybxhIBz
[6].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:李逵还是李鬼?借安全事件处置之名的攻击样本分析
