概述
8.13日演习相关样本信息
集成OWL与RAS引擎:可输出检测的基本信息;检测附件是否存在威胁;输出相关恶意家族,以及攻击团伙详情等检测结果信息。
支持邮件的回扫检测与提交红雨滴云沙箱分析。
联动奇安信海量威胁情报数据。
近期捕获的钓鱼邮件有“于近期发布的短视频涉及中国*****集团有限公司的内容咨询.eml”,该定向钓鱼邮件附件包含一个伪装成文档的恶意文件。此外演习中还出现多个以“安全自检”、“安全自查”为诱饵的样本,比如”安全自检.rar”,“**银行员工终端自查.exe”。
部分演习相关样本红雨滴云沙箱/邮件检测报告链接
样本名称 | MD5 | 红雨滴云沙箱/邮件检测报告链接 | 备注 |
于近期发布的短视频涉及*****集团有限公司的内容咨询.eml | 94722c9b96181df41a1e8e387c1d9048 | 红雨滴邮件检测报告[1] | 钓鱼邮件 |
***.exe | 371985a80fa61c4145036c9000d66f52 | 红雨滴邮件检测报告[2] | 钓鱼邮件附件,加密压缩包中的恶意程序 |
安全自检.rar | 57b21fcd1235dbad48803f4d80f96fa7 | 红雨滴邮件检测报告[3] | 压缩包,内含诱饵文档及恶意程序 |
**银行员工终端自查.exe | 58061fae5ff42af553a4ed2807da26f9 | 红雨滴邮件检测报告[4] | PyInstaller打包的恶意程序 |
案例:钓鱼邮件包含加密附件的攻击样本分析
样本基本信息
红雨滴邮件检测报告链接 | https://ares.ti.qianxin.com/ares/tools/maildetails/343e69ce42d901d8705644cc92f5ceca5f9dca99?istextshow=true |
原始邮件文件名 | 于近期发布的短视频涉及*****集团有限公司的内容咨询 |
样本MD5 | 94722c9b96181df41a1e8e387c1d9048e |
邮件类型 | Email File |
邮件主题 | 于近期发布的短视频涉及*****集团有限公司的内容咨询 |
收件人邮箱 | m***@cn***.com.cn |
发件人邮箱 | z***@cn**.com.cn |
使用红雨滴云沙箱×红雨滴邮件检测分析样本
首先,使用TI账户登录威胁情报中心威胁分析平台(https://ti.qianxin.com/)后,点击阿瑞斯武器库,选择邮件批量自动化检测,即可拖拽投递需要分析的邮件样本文件:
也可以直接访问邮件威胁检测入口(https://ares.ti.qianxin.com/ares/tools/mail)上传待分析的原始邮件。
在上传待分析邮件后,等待数秒。一旦邮件分析完成,将自动跳转到历史记录页面。历史记录页面可以看到自己投递的历史邮件总览。
邮件威胁检测的分析记录由邮件原文与检测详情组成,在历史记录界面点击详情按钮将会默认跳转到邮件原文页面。在邮件原文页面可以看到邮件的基础信息(发件人、收件人、发送时间、附件个数)、正文与附件。
检测详情页面由检测结果、邮件威胁情报汇总、邮件头部检测结果、邮件正文检测结果与邮件附件检测结果组成。在检测结果处,会展示基础信息、恶意级别以及恶意标签等。此次邮件样本检测详情如下。
在邮件原文中可以看到邮件的基本信息,检测详情中可以看到被标为可疑邮件,并且带有标签contain_password。发件人在原文中提到了附件的解压密码为20230812。
在检测详情下面列出的邮件附件中,可以选择将附件样本投递红雨滴云沙箱进行分析。投递完成后刷新页面,会出现对应的沙箱报告链接。
不过由于该邮件附件为加密的zip压缩包,要保证沙箱分析效果,只能先解密附件压缩包并手动投递其中的文件。
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/)使用沙箱辅助分析加密压缩包中的文件。
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、签名等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。
红雨滴云沙箱提供Restful API接口,可将深度恶意文件检查能力集成到企业安全运营系统或安全厂商产品中,进行恶意文件检测。通过点击导航栏的AV引擎可以看到样本的杀软引擎检测结果。
根据静态分析的信息,可以看到文件使用了WPS的图标进行伪装,并且携带的数字签名也伪装为wps。
红雨滴云沙箱会记录样本文件的可疑行为,可以通过行为异常看到exe文件在运行后创建了docx文档以掩饰自身。
在主机行为的进程信息中我们也可以看到样本在执行之后创建了docx文件后并通过cmd命令删除原可执行文件。
主机行为的行为分析图显示,原可执行文件在执行之后释放“ncloud.exe”和诱饵文档,并在执行ncloud.exe后通过cmd删除自身,并打开docx文件。
在网络行为的DNS和会话信息中可以看到样本沙箱与域名iciba.ks3-cn-beijing.ksyuncs[.]com和43.141.49[.]92:443通信。
威胁情报中通信域名和IP已经被打上相关标签。
经过沙箱辅助分析,解读分析报告后,我们对该样本的整体行为有了初步了解:该样本在诱惑用户打开exe文件后释放木马程序和诱饵docx文件,再调用cmd删除自身,后台启动木马程序并打开docx文档迷惑受害者,其中木马程序与已被标记的域名通信。
云沙箱关联分析
得到相关网络行为信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口),云沙箱报告的多个元素都支持TI及关联查询的功能。比如,在沙箱报告解析域名和会话IP的右侧,便有TI查询和关联查询两种查询功能按钮。
通过点击解析域名信息右侧的对角圆圈图标(关联查询)可以直接得到访问相同域名的样本列表。
可以看到关联样本中还包括了多个标签相似的攻击样本。
其中“安全自检.zip“中的诱饵更加逼真,包括多个诱饵文档诱使受害者运行程序。
其中部分诱饵如下:
部分IOC信息
371985a80fa61c4145036c9000d66f52
57b21fcd1235dbad48803f4d80f96fa7
58061fae5ff42af553a4ed2807da26f9
域名:
iciba.ks3-cn-beijing.ksyuncs[.]com (云服务)
IP:
43.141.49[.]92:443
43.143.4[.]74:5443
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱在两年多以前即被威胁分析厂商VirusTotal集成:https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品之一,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果
参考链接
[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYnptFTT9kNObtGx14DG
[3].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYntmk6Wa5r8RybxhFD2
[4].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYns7Am09kNObtGx140I
点击阅读原文至ALPHA 6.0
即刻助力威胁研判
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...