概述
8.17日演习相关样本信息
红雨滴云沙箱近期捕获的与演习相关的样本包括:“团队个人业绩提成分红核对.exe”,“安全检查工具-v1.41.zip”,“数据脱敏在数据中台产品的实践与应用-0814.docx.exe”,“****人才管理系统V1.1.zip”等。其中“团队个人业绩提成分红核对.exe”带有VMP壳,运行时释放白利用组件,然后连接C2服务器。
部分演习相关样本红雨滴云沙箱报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
团队个人业绩提成分红核对.exe |
e1f4ef51d6ead7bf529149a810110b0c |
红雨滴云沙箱报告[1] |
VMP壳,释放白利用组件 |
|
安全检查工具-v1.41.zip |
112299dc0c2eb3eb90d4e34befcb8e20 |
红雨滴云沙箱报告[2] |
DLL白利用 |
|
数据脱敏在数据中台产品的实践与应用-0814.docx.exe |
ff7c7c2643861d43a9da48ac102b8d14 |
红雨滴云沙箱报告[3] |
木马 |
|
****人才管理系统V1.1.zip |
f4a4ddb61b5da29f25d5943c93dec62a |
红雨滴云沙箱报告[4] |
木马 |
案例:使用VMP加壳的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoCSirWCf0-QUp-80a7 |
|
样本文件名 |
团队个人业绩提成分红核对.exe |
|
样本MD5 |
e1f4ef51d6ead7bf529149a810110b0c |
|
样本类型 |
PE32 Executable for MS Windows (EXE) |
|
样本大小 |
1923312字节 |
|
RAS检测结果 |
Signed_PE neutral-lang |
|
样本基因特征 |
解压执行 探针 检测虚拟机 可疑命令行 检测沙箱 联网行为 程序崩溃 持久化 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱进行辅助分析。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。该样本被多家杀软引擎检测为恶意。
静态分析的显示了样本用文档图标进行伪装,并带有名称为“12980215 Canada Inc.”的数字签名。
行为异常部分表明样本会创建一个名为”WinDefeny”的服务,可能借此实现持久化。
主机行为中的行为分析图给出了样本运行后的行为概要信息,可以看到样本会释放名为”foundation.dll”的文件,启动Browser.exe进程,创建服务,并连接外部IP。
主机行为的进程部分信息显示样本运行后的进程树关系和进程启动路径,值得注意的是mstsc.exe这个进程启动路径并不是系统目录。
点击上面进程列表中的特定进程,可以查看该进程的详细行为信息。可以看到样本运行后会在“C:UsersPublicVideos”下创建子目录,并释放“Foundation.dll”和”Browser.exe”文件。
Browser.exe被启动后,加载同目录下的“Foundation.dll”。
创建另一个目录,同样在该目录中写入DLL和EXE文件,并将其中的Browser.exe重命名为mstsc.exe。
网络行为显示样本运行后连接134.122.200[.]208的15858端口。
在威胁情报中,样本通信IP已被标明与远控木马有关,并且释放的foundation.dll文件也被标为木马。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本通过文件名和图标伪装成文档诱使受害者点击,运行后在指定目录释放EXE和DLL白利用组件,释放的EXE程序加载恶意DLL后,复制白利用组件到另一个目录,将其中的EXE文件重命名以伪装成系统文件,创建服务实现持久化,并与C2服务器建立网络通信。
部分IOC信息
e1f4ef51d6ead7bf529149a810110b0c
112299dc0c2eb3eb90d4e34befcb8e20
ff7c7c2643861d43a9da48ac102b8d14
f4a4ddb61b5da29f25d5943c93dec62a
域名和IP:
134.122.200.208:15858
service-lr7gw0h7-1319987096.sh.apigw.tencentcs.com (云服务)
140.143.147.47:443
service-85p6f2qr-1252579309.bj.apigw.tencentcs.com (云服务)
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[5]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9nBLw9kNObtGx17-h
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYn9GhxWCf0-QUp-8zNk
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoBzLUbCf0-QUp-80Wi
[5].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:曝光带壳样本的恶意行为
