红雨滴云沙箱：针对蓝队人员的陷阱，多层Python攻击样本分析

概述

奇安信威胁情报中心基于红雨滴云沙箱部署的攻击狩猎流程正自动化地不停捕获可疑样本。在接下来的时间，红雨滴云沙箱将不时公开我们捕获并关联到的相关的样本（文末提供部分IOC）。这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

8.21日演习相关样本信息

红雨滴云沙箱近期捕获与演习相关的钓鱼邮件和其它攻击样本，包括：“关于公司王某、徐某某、张某等多人在国家演练期间的违反公司规定的情况通报.eml”，“蓝队**工具箱——zhzyker作品.exe”，“开展OA弱口令排查的紧急通知.zip”，“新员工信息登录表.rar”，“终端敏感信息排查工具.msi”，“中车系统更新程序v2.2.10115.exe”等。其中“蓝队**工具箱——zhzyker作品.exe”，“中车系统更新程序v2.2.10115.exe”等都是通过Pyinstaller打包的python程序，配合与文件名称相符的图标，使得攻击者生成的exe文件极具迷惑性。

另外值得一提的是，样本“蓝队**工具箱——zhzyker作品.exe”在沙箱执行过程中，执行了来自攻击者的"whoami"命令，这显示出攻击者对战果的高度关注。

部分演习相关样本红雨滴云沙箱报告链接

近期捕获到的演习相关样本部分红雨滴云沙箱分析报告列表：

样本名称	MD5	红雨滴云沙箱报告链接	备注
蓝队**工具箱——zhzyker作品.exe	ca5d775c33c0f9323a9926746a5a3a18	红雨滴云沙箱报告^[1]	Pyinstaller打包
中车系统更新程序v2.2.10115.exe	ff9b9af30eaa6fcef19c2591b71891f9	红雨滴云沙箱报告^[2]	Pyinstaller打包
关于公司王某、徐某某、张某等多人在国家演练期间的违反公司规定的情况通报.exe	84366d6dc5ad5bd00c82c2f468ebfb99	红雨滴云沙箱报告^[3]	C#，Metasploit shellcode
开展OA弱口令排查的紧急通知.zip	0dea092f361bedb9c800803e933e80ad	红雨滴云沙箱报告^[4]	白利用
新员工信息登录表.rar	4896e4880779bee39de260c38b1106a5	红雨滴云沙箱报告^[5]	CobaltStrike
终端敏感信息排查工具.msi	c944bc16ba05ffa886bd2103070bf477	红雨滴云沙箱报告^[6]	MSI文件 Lua脚本，Metasploit shellcode

案例：Pyinstaller打包的攻击样本分析

样本基本信息

红雨滴云沙箱报告链接	https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV1AsMa5r8RybxhQI1
样本文件名	蓝队**工具箱——zhzyker作品.exe
样本MD5	ca5d775c33c0f9323a9926746a5a3a18
样本类型	PE64 Executable for MS Windows (EXE)
样本大小	6343295字节
RAS检测结果	Contain_PE64 Signed_PE en-US neutral-lang
样本基因特征	可疑命令行可疑程序隐藏自身检测沙箱探针解压执行检测虚拟机联网行为

使用红雨滴云沙箱分析样本

通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/）使用沙箱进行辅助分析。

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分。

红雨滴云沙箱提供Restful API接口，可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中，进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。可见只有yara-beta引擎报毒，免杀效果较好。

点击右侧导航栏的深度解析功能，在流文件信息部分展示了文件中的所有流文件，这些流文件的详细信息默认全部展开，可以点击右上角的“全部收起”显示概要信息。从流文件信息中各种带有“py”的文件名，可以看出该EXE文件很可能是通过Python打包生成。

主机行为功能的行为分析图显示，样本会执行一些可疑行为，并发起网络通信。

在主机行为中可以看到程序的进程链。

网络行为显示样本与43.143.151.82:6677进行通信。

样本分析

沙箱的动态分析为我们提供了关于该攻击样本的一些行为信息，以此为基础我们可以更进一步对样本的恶意功能进行探究。

对样本使用工具解包及反编译核心pyc文件后，得到如下Python代码。对数据进行异或处理，并转为字符串，然后调用内置函数exec执行。

Exec执行的代码如下所示，shellcode以加密方式存放为PEM文件内容，对其解密后，借助ctypes调用Windows API执行shellcode。

Shellcode由Metasploit生成，连接43.143.151.82的6677端口。

部分IOC信息

MD5：

ca5d775c33c0f9323a9926746a5a3a18

ff9b9af30eaa6fcef19c2591b71891f9

84366d6dc5ad5bd00c82c2f468ebfb99

0dea092f361bedb9c800803e933e80ad

4896e4880779bee39de260c38b1106a5

c944bc16ba05ffa886bd2103070bf477

域名和IP:

43.143.151.82:6677

106.75.229.225:443

nbpmkova.qianxinclouds.com

service-1kp2cmqp-1318310514.sh.apigw.tencentcs.com (云服务)

121.43.187.93:4433
175.178.242.201:9878

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成：https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告^[7]。

VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果

参考链接

[1].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV1AsMa5r8RybxhQI1

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXPAR4Cf0-QUp-84d3

[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoV-qWqa5r8RybxhQKH

[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoXQcRT9kNObtGx2Bhq

[5].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoSGwSJCf0-QUp-83ia

[6].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYoW1SPga5r8RybxhQRK

[7].https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip