概述
8.20日演习相关样本信息
部分演习相关样本红雨滴云沙箱报告链接
|
样本名称 |
MD5 |
红雨滴云沙箱报告链接 |
备注 |
|
009.zip |
497d8cb6c2682193c16ea6ed03195c30 |
红雨滴云沙箱报告[1] |
LNK,DLL白利用 |
|
wangxiangcai-简历.iso |
b19c74b729ca5f4aae06f63abe6a7245 |
红雨滴云沙箱报告[2] |
ISO文件,其中的恶意组件和上面样本一样 |
|
公司购买团险员工信息2023223.zip |
1589ef50f2075fa60c59f8a57b0d19cb |
红雨滴云沙箱报告[3] |
LNK,DLL白利用 |
|
0819邮件2.exe |
f3ebc69c71f4525300bdcc33d96a0f14 |
红雨滴云沙箱报告[4] |
Rust编写,沙箱检测方式包括查询公网IP |
|
0819邮件3.exe |
e13c4fcb64692d08b012cf74590684d4 |
红雨滴云沙箱报告[5] |
Rust编写,沙箱检测方式包括查询公网IP |
|
中国*****数据中心资产评估服务采购投标材料.exe |
a1bd2239d2561e1f5bc2cf27a09065fd |
红雨滴云沙箱报告[6] |
Rust编写,沙箱检测方式包括查询公网IP |
案例:结合多种手法的攻击样本分析
样本基本信息
|
红雨滴云沙箱报告链接 |
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoQuzs4Cf0-QUp-83bI |
|
样本文件名 |
009.zip |
|
样本MD5 |
497d8cb6c2682193c16ea6ed03195c30 |
|
样本类型 |
Compressed Archive File in zip Format |
|
样本大小 |
1278460字节 |
|
RAS检测结果 |
Contain_PE64 Maybe_Sideloading Signed_PE ZIP_LNK neutral-lang zh-CN |
|
样本基因特征 |
持久化 检测虚拟机 探针 解压执行 检测沙箱 |
使用红雨滴云沙箱分析样本
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。
静态分析的流文件信息显示了压缩包中包含的文件,其中LNK文件名伪装为PDF文件,诱使受害者点击运行。
在主机行为中可以看到LNK文件启动EXE程序后的进程链。
样本压缩包中的EXE加载同目录下的DLL,并读取wangxiancai.ini文件。
同时将相关组件复制到temp目录下。
样本分析
沙箱的动态分析为我们提供了关于该攻击样本的一些行为信息,以此为基础我们可以更进一步对样本的恶意功能进行探究。
恶意DLL读取与EXE同名的”.ini”文件,并借助advapiI32.dll的systemfunction032函数从中解密出shellcode,然后直接使用系统调用分配内存并执行shellcode。
Shellcode执行后会对外发送网络请求。
用于连接的域名和URL列表如下
|
www.yysss.com,/static/js/sha256.min.js, www.ssyy.com.cn,/static/js/hilog.js, www.pi7.com,/static/js/hilog.js, www.360270.com,/static/js/sha256.min.js, ulinix.cn,/static/js/sha256.min.js, 122.246.12.165,/static/js/poly.min.js |
结合沙箱报告和对样本的进一步分析,我们对该样本的整体行为有了初步了解:该样本通过伪装成文档的LNK文件启动EXE程序,进而加载恶意DLL,恶意DLL作为加载器解密执行ini文件中包含的shellcode,然后与攻击者建立网络通信。
沙箱关联分析
沙箱报告的威胁情报中已经把用于加载shellcode的恶意DLL打上了相关标签。
可以根据该DLL的hash值关联到其他攻击样本。
部分IOC信息
497d8cb6c2682193c16ea6ed03195c30
b19c74b729ca5f4aae06f63abe6a7245
1589ef50f2075fa60c59f8a57b0d19cb
f3ebc69c71f4525300bdcc33d96a0f14
e13c4fcb64692d08b012cf74590684d4
a1bd2239d2561e1f5bc2cf27a09065fd
域名和IP:
service-p14t5wzp-1319778302.bj.apigw.tencentcs.com (云服务)
112.3.31.157
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告[7]。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoRXqv1a5r8RybxhOxW
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoNCkZ6Cf0-QUp-82mt
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoNI2oma5r8RybxhNlK
[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoM53cXa5r8RybxhNkJ
[6].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoNI2oma5r8RybxhNlK
[7].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):红雨滴云沙箱:多种手法齐上阵,不断“进化”的攻击样本
