红雨滴云沙箱：警惕披着安全厂商外衣的攻击样本

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间，红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本（文末提供部分IOC）。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.11日演习相关样本信息

以高迷惑性的鱼叉式钓鱼邮件进行攻击一直是建立攻击立足点的不二法门，因此为提高迷惑性，攻击方在攻击样本的伪装上可谓是做足了戏码。不仅附件压缩包的名称设置得极具迷惑性，还在压缩包放置有与附件同名的、指向隐藏目录中木马的lnk文件，而隐藏目录中则包含具有系统属性的文件夹与隐藏的木马和诱饵，以此来绕过邮件检测和沙箱检测，企图以最低的成本达成最大的效果。

近期捕获的攻击样本最明显的特征是均使用域前置来隐藏攻击者C2，并且借助带有国内安全厂商名称的CDN域名转发通信数据，更有甚者，使用带有安全厂商签名的木马进行攻击，尽管签名已经失效，但这不妨碍对受害者的迷惑，以及对某些杀软的欺骗。

红雨滴云沙箱捕获的与演习相关的恶意样本包括：“关于调整***基层干部员工2023年7月份绩效考核结果的通知.7z”，“关于**科技股份有限公司人事任免的通知.exe”、“**-26岁-17届浙江工商大学(全日制本科)-保险学专业.piz”等。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表：

样本名称	MD5	红雨滴云沙箱报告链接	备注
关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z	11ac373022d6297ea1f367d8980dc4bd	红雨滴云沙箱报告^[2]	域前置木马
关于**科技股份有限公司人事任免的通知.exe	08fa017f9610c0912021d9f4463487aa	红雨滴云沙箱报告^[3]	域前置木马
**-26岁-17届浙江工商大学(全日制本科)-保险学专业.piz	0548934ccff2d111dc253d9ab7dc8101	红雨滴云沙箱报告^[4]	域前置木马
goopdate.dll	31186bd02349ca8050fb66d25849a7e7	红雨滴云沙箱报告^[5]	白加黑的黑dll，通过同目录下的update.exe加载执行

案例：利用安全厂商域名伪装的攻击样本分析

样本基本信息

红雨滴云沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnj4V299kNObtGx127v
样本文件名	关于调整**基层干部员工2023年7月份绩效考核结果的通知.exe
样本MD5	404357e3f4b8f6edb0cf09e45b1196cd
样本类型	PE64 Executable for MS Windows (EXE)
样本大小	2643104字节
RAS检测结果	Signed_PE neutral-lang
样本基因特征	隐藏自身注入检测沙箱解压执行修改浏览器配置检测虚拟机 HTTP通信探针联网行为

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分，通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。

点击右侧导航栏的静态分析功能，在文件基本信息部分展示了文件图标。可以看到文件以Word图标进行伪装，并以过长的文件名来遮掩最后的exe后缀，以此迷惑受害者。

往下滚动，可以看到数字签名的相关信息

点击右侧导航栏的深度解析功能，可以看到可执行文件的imphash，该值可以用做样本溯源关联。另外还可以查看文件签名信息，包括证书颁发者名称、开始时间、失效时间、证书指纹等。

沙箱报告的行为异常功能显示样本运行后会调用cmd.exe打开名为“tmp_yeumwu.docx”的文档。打开的文档为诱饵文档，但是我们疑惑的是，为什么压缩包名为“关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z”，这里展示的诱饵却是一份高级DevOps工程师的简历，直到我们通过云沙箱的关联分析功能，我们才知道了这个问题的答案。

网络行为显示样本会尝试解析某个带有安全厂商名称的域名（static.cgbchina.com.cn.cloud.360.net），该域名经过CDN加速，发起的HTTPS请求中连接的IP（115.231.71.80）实际为CDN服务器IP之一。

经过沙箱辅助分析，解读分析报告后，我们对该样本的整体行为有了初步了解：该样本以Word图标进行伪装，并携带某安全厂商签名，运行后释放诱饵文档迷惑受害者，并采用域前置技术将网络通信数据伪装为连接仿照安全厂商域名的合法流量。

点击右侧导航栏的社区功能，用户可以通过沙箱辅助分析后进行判定，并添加自己的标签，或者添加评论，为网络安全贡献自己的一份力量。

云沙箱关联分析

得到相关网络行为信息后，我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能（红雨滴云沙箱高级搜索也提供了相同的功能入口），云沙箱报告的多个元素都支持TI及关联查询的功能。比如，在沙箱报告解析域名和会话IP的右侧，便有TI查询和关联查询两种查询功能按钮。

通过点击解析域名信息右侧的对角圆圈图标（关联查询）可以直接得到访问相同域名的样本列表。

关联的样本如下

我们可以看到在7月31日有名为“百度金融度小满开发运营团队高级DevOps工程师JD.exe”的样本上传，其诱饵内容也与之相关。这也就解答了我们在上面的问题，由于时间仓促，攻击者来不及更改此次演习的诱饵，就投入使用，造成了诱饵文件名与诱饵内容不符的奇怪景象。

另外，关联可知，最早的同源木马于2023年5月25日投递过我们沙箱。

部分IOC信息

MD5：

404357e3f4b8f6edb0cf09e45b1196cd

08fa017f9610c0912021d9f4463487aa

0548934ccff2d111dc253d9ab7dc8101

31186bd02349ca8050fb66d25849a7e7

域名:

static.cgbchina.com.cn.cloud.360.net.cdn.dnsv1.com（正常域名，用于CDN隐藏通信）

api.qianxin.com.cdn.dnsv1.com.cn（正常域名，用于CDN隐藏通信）

yunqishangwu.com（正常域名，用于CDN隐藏通信）

huawei.dcclouds.com（正常域名，用于CDN隐藏通信）

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成：https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[1]。

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].VirusTotal - File - 99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnjpwjKa5r8RybxhCWY

[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6

[4].https://sandbox.ti.qianxin.com/sandbox/page/detailtype=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6

[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=c628cc5ef5d7c638b39b8352093713b4e76868c6

点击阅读原文至ALPHA 6.0

即刻助力威胁研判