也算是第一次全程参与这个级别的项目,学到了挺多东西,也趁着摸鱼总结了一点点东西,后面回来后发散性地思考了一下,分享出来,希望对各位师傅们有所帮助。
在线云沙箱
在线云沙箱产品,即在线的恶意软件分析平台,这里借用微步对其的介绍。
与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据,结合微步威胁情报云,分钟级发现未知威胁。
简单来说,你遇到的任何可疑的文件都可以丢上去,然后根据检测的结果判断安全性,当然这里的安全性只是一般意义上的,相信很多红队的师傅可以制作出0报毒的恶意样本,因此这里沙箱报毒的安全性只是相对的,这并不是说明某个产品功能不够之类的,而是一个合格的产品一定是成本和收益的平衡。
2.编写免杀马的时候定位特征马
3.蓝队发现了可疑的文件要快速进行排查
4.GitHub等公开平台发现了一个漏洞利用工具,使用前要进行查杀
而在进行攻防演练的特殊时期,由于红蓝双方身份的不确定性以及钓鱼等社工手法的大规模运用,公开平台及小圈子里流传的各种文件的可疑程度大大增加,这无疑增加了对于在线云沙箱的检测需求,任何文件都可能被提交至在线沙箱平台进行检测,这使得从其中打捞出高价值情报成为可能。
微步在线云沙箱:https://s.threatbook.cn
360安全大脑沙箱云:https://ata.360.net/public
截止至目前,许多安全公司都建立起了威胁情报平台,由于在线云沙箱所检测的恶意样本能直接分析出相关的恶意情报,因此在线云沙箱通常与相关的威胁情报平台同步出现,当然也有类似腾讯哈勃分析系统、大圣云沙箱检测系统、魔盾安全分析这种专职恶意样本检测的单一产品,不过目前此次攻防演练中,我仅使用了微步和360的两款在线云沙箱平台。
这两款沙箱产品均支持展示近期上传检测的各类样本,并提供下载功能,其中360安全大脑沙箱平台的下载需要进行付费,而且360的样本进行其他完善的检测还需要付费。。。
利用在线云沙箱打捞0day等高价值情报
样本打捞的主要流程
现有的沙箱产品在对样本进行检测后的结果展示,一般包括如下方面,这里主要以微步在线云沙箱上的某一恶意样本为例,SHA256值为e5d6a0e08442a9d8658f94c7015e7d6c50921342fa8e6b2807301b4db1513a16
1. 样本的主要信息
1. 样本的文件大小,一般在线云沙箱均限制了可供上传的恶意样本文件大小,微步在线云沙箱的限制为不大于50Mb
2. 样本的文件类型,一般来说文件类型在进行样本检测时会提供可选,但是实际检测时在线沙箱一般会检测其文件头进行更加精准的判断
3. 样本检测的报毒情况
4. 样本的主要HASH值,一般包括MD5、SHA1和SHA256的值,其中各类在线云沙箱产品基本以SHA256作为样本的唯一特征值,可以使用该值进行样本的检索,还有平台会提供SSDEEP的值作为辅助判断的值,比如安恒在线云沙盒。
2. 与该样本关联的情报IOC
3. 行为检测结果
4. 多种杀毒引擎的检测结果
5. 静态分析
1. 基础信息
2. 元数据
3. 格式深度分析,如果是压缩文件,一般会进行解压后进一步分析解压出的文件,一般只能解压默认密码,或者其能自动识别的密码,例如微步就可解压密码为threatbook的压缩文件(threatbook也是微步在线云沙箱下载样本的压缩包的解压密码)
6. 动态检测,这里一般都支持选择不同的环境进行运行,例如win7、win10、linux等平台,当然有些在线云沙箱平台使用非默认的环境需要额外收费,这种情况下换个平台就好了,大家检测能力都差不多,不存在一定要指定某个平台的说法
1. 处置建议
2. 执行流程
3. 进程详情
4. 运行截图
5. 网络行为
6. 释放文件
当然本文章的目的并不是教你去分析一个真正的恶意样本,而是快速过滤和筛选出具有高价值情报的样本
1. 初步筛选,微步只提供样本的一览,对样本的筛选比较麻烦且玄学,360沙箱云则提供样本类型的筛选,且比较简单易用
2.文件类型需要是RAR、py、txt、yaml、docx,这些明显能够包含高价值情报的文件类型,当然并不是说exe、jar等文件是不会包含的,只是这会明显增加你的筛选成本,同时万一0报毒免杀,你不就白花功夫
3. 可选项,文件名比较有吸引力,比如POC、exp、漏洞通告、安全情报、漏洞通告等
2.如果样本未经过RAR压缩,则直接观察动态检测即可,以样本
为例,该样本为docx文件
1. 该样本仅启动winword.exe进程,无其他进程启动
2. 查看运行截图发现高价值情报
3. 网络行为分析中无任何外联请求产生
3.如果样本是压缩文件,则判断以静态分析中的文件深度检测为主,以高价值样本b19274e0c85dfd219e4f4829cfa218b07eecc7bd7d6f4b28d979dbe50fecd5d7为例子
1. 解压后释放5份子文件,且格式均为txt,文件风险较低
2. 文件名中出现疑似高价值情报特征
样本打捞的一些要点
1. 样本的病毒性检测仅作参考,无法确定某个文件一定不存在病毒,由于在线云沙箱平台是一个面向所有用户的,因此该平台也能成为钓鱼的潜在攻击面,建议下载后的样本应迅速转移至断网的虚拟机中进行查看
2. 不要头铁在一个平台上下载样本,特别是某些收费的平台,可疑使用SHA256作为值前往其他在线云沙箱平台进行文件检索,因为收费是真的贵
3. 需要平衡花费的精力和收益,从无数样本中发现含有高价值情报的样本是一个非常枯燥的过程,同时样本的展出一般都会限制最近多少份,且不会提供完善的文件检索过滤,会消耗非常多的精力和信心,同时高价值情报的样本出现本身就是不确定性的,推荐在比较大型的攻防演练中使用
4. 耐心,很多高价值样本的筛选都需要你点入具体的详情页后进行查看,需要查看的样本数量会非常多,很消磨耐心,但是比起你去找大佬要相关的情报去欠人情,我认为这种自己打捞是比较经济的选择
5. 你所获得的情报需要进行多方验证,所有的情报都需要经过至少两份以上的验证后才具有一定的可信度,不要像这次谣传的Nginx和Log4j的0day一样
本次演练期间我所发现的一些高价值样本
光说不练假把式,都说了这么多了,就分享给大家我打捞的一些高价值的样本吧
-
b19274e0c85dfd219e4f4829cfa218b07eecc7bd7d6f4b28d979dbe50fecd5d7
-
408de3c08a5088c87057f724d323b7b1ff6222bf8d426a525913a09321998b28
-
748318ec4ae86f7e05005c43aa882d2b36eb763d578cfb8ae7f5b9650e812599
-
f4cf5994fcdfcf8887ed3f05cc92a5fa6319a01aba03eb9112c3ad1befd72a3c
-
126c075e02d5d6ae4de8ffd49f7ff3ba3e3755a64a21f828775598f025f2e411
-
6b75e757d6ed998a812327a57f069d566291e936c5b7265f3595f06e850a5a84
-
3f52b8b6bfc41b00296c76045d7c2afa126f4fdb41b91d1c4f1995cc9bc2134e
-
5d9242dd44df6ec2c7928e34383e3adc2afadb40fba59e248680eba766e75bb0
-
8089bbc7a2e2d0d6027f6373814ae1e14da4385f70a1aa853f2f2b282e78d0f2
-
28b1fce5ae26bbfcbab4728e7925569a647b551cfa6ad19f52a006c72bcd65a8
原文始发于微信公众号(Poker安全):在攻防演练中使用在线云沙箱打捞0day等高价值情报