述

近期，奇安信威脅情報(bào)中心在日常的樣本運(yùn)營(yíng)中，捕獲了多例實(shí)戰(zhàn)攻防演習(xí)樣本。樣本主要以“薪酬調(diào)整”、“審核材料”、“局處級(jí)干部進(jìn)修”、“攻防演習(xí)”等話題為誘餌。與往年不同的是，今年實(shí)戰(zhàn)攻防演習(xí)攻擊隊(duì)投遞的樣本普遍具有比較好的免殺性，大部分樣本在VirusTotal報(bào)毒較少甚至0查殺。但通過奇安信威脅情報(bào)中心紅雨滴高對(duì)抗沙箱自動(dòng)化分析平臺(tái)，我們輕松捕獲到了絕大部分樣本的真實(shí)惡意行為。而部分樣本僅有紅雨滴高對(duì)抗沙箱能夠觸發(fā)完整的行為，甚至號(hào)稱業(yè)界最強(qiáng)的anyrun沙箱也無(wú)能為力，這足以體現(xiàn)紅雨滴沙箱惡意樣本對(duì)抗分析引擎的強(qiáng)大！

在對(duì)樣本進(jìn)行詳細(xì)分析后，我們總結(jié)了近期實(shí)戰(zhàn)攻防演習(xí)攻擊隊(duì)樣本的一些特點(diǎn)。在本文中，我們將對(duì)比較有代表性的樣本進(jìn)行分析介紹，希望幫助讀者從多個(gè)方面了解和防范此類攻擊。

案例：利用CHM執(zhí)行PowerShell腳本的樣本分析

樣本基本信息

使用紅雨滴沙箱分析樣本

本次發(fā)現(xiàn)的一例針對(duì)防守方的釣魚樣本以攻防演習(xí)為誘餌投遞<攻防演習(xí)補(bǔ)丁檢測(cè)使用手冊(cè).CHM>文件。該CHM文件在用戶電腦上運(yùn)行之后，將會(huì)連接攻擊者的C&C服務(wù)器下載后續(xù)PayLoad到本地加載執(zhí)行以實(shí)現(xiàn)對(duì)用戶主機(jī)的完全控制。

首先，使用TI賬戶登錄威脅情報(bào)中心威脅分析平臺(tái)（https://ti.qianxin.com/）后，選擇文件分析選項(xiàng)卡，既可拖拽投遞需要分析的樣本文件：

圖1 Alpha分析平臺(tái)紅雨滴沙箱入口

也可以通過訪問紅雨滴沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page）上傳待分析文件：

圖2 紅雨滴高對(duì)抗沙箱分析入口

在上傳待分析文件后，可以手動(dòng)設(shè)置沙箱分析參數(shù)：分析環(huán)境（操作系統(tǒng)）、分析時(shí)長(zhǎng)等。而紅雨滴高對(duì)抗沙箱由于針對(duì)各類樣本已經(jīng)做足了智能化判定，所以基本上以默認(rèn)方式提交檢測(cè)即可：

圖3 紅雨滴沙箱樣本分析適配頁(yè)面

沙箱檢測(cè)結(jié)果解讀

點(diǎn)擊“開始分析”按鈕后，會(huì)自動(dòng)跳轉(zhuǎn)到對(duì)應(yīng)樣本的分析檢測(cè)結(jié)果頁(yè)面。稍等數(shù)分鐘則可以看到整個(gè)樣本的詳細(xì)分析報(bào)告。

紅雨滴沙箱報(bào)告結(jié)構(gòu)

沙箱報(bào)告主的頭部要分為兩大部分：左側(cè)的報(bào)告內(nèi)容（可上下滑動(dòng)）和右側(cè)的導(dǎo)航欄。

圖4 紅雨滴沙箱分析報(bào)告首頁(yè)概覽

分析人員可以通過右側(cè)的導(dǎo)航欄點(diǎn)擊選擇需要即時(shí)查看的針對(duì)性沙箱報(bào)告內(nèi)容。導(dǎo)航欄包括樣本分析和關(guān)聯(lián)相關(guān)的11大維度：概要信息、威脅情報(bào)、AV引擎、行為異常、靜態(tài)分析、深度解析、主機(jī)行為、網(wǎng)絡(luò)行為、釋放文件、運(yùn)行截圖、社區(qū)。

我們以該CHM樣本為例，簡(jiǎn)單介紹紅雨滴高對(duì)抗沙箱報(bào)告中的幾大功能和內(nèi)容。

樣本概要信息和威脅情報(bào)關(guān)聯(lián)

紅雨滴沙箱報(bào)告頂端是對(duì)該樣本檢測(cè)的概要信息和威脅情報(bào)關(guān)聯(lián)信息。其中概要信息包括文件的MD5、SHA1、SHA256等HASH信息，文件類型、文件大小、本次沙箱檢測(cè)的操作系統(tǒng)環(huán)境信息、文件信譽(yù)、RAS檢測(cè)、基因特征等信息。

此外，惡意評(píng)分位于概要信息右側(cè)，是紅雨滴沙箱基于樣本分析的所有維度針對(duì)該樣本的智能判斷，分別有4類不同的判定結(jié)果：惡意、可疑、未發(fā)現(xiàn)風(fēng)險(xiǎn)、安全。很顯然，該樣本被明確標(biāo)記為了惡意樣本。

圖5 紅雨滴沙箱惡意評(píng)分

文件信譽(yù)一欄則表明了該樣本已經(jīng)被云端標(biāo)記為惡意樣本，且惡意家族為Trojan。

圖6 紅雨滴沙箱文件信譽(yù)判斷

RAS檢測(cè)結(jié)果則是紅雨滴團(tuán)隊(duì)自研的APT樣本檢測(cè)引擎對(duì)該樣本深度掃描的結(jié)果，可以看到該樣本被RAS引擎檢測(cè)為CHM_Exec，也就是攜帶了可執(zhí)行代碼的高危CHM文件。

圖7 紅雨滴沙箱RAS檢測(cè)結(jié)果

基因特征則是紅雨滴沙箱基于動(dòng)靜態(tài)行為識(shí)別的樣本動(dòng)靜態(tài)相關(guān)的標(biāo)簽，可疑看到該樣本具有：可疑程序 powershell 下載者 聯(lián)網(wǎng)行為等惡意標(biāo)簽信息。

圖8 紅雨滴沙箱基因特征檢測(cè)結(jié)果

威脅情報(bào)一欄則會(huì)基于紅雨滴沙箱檢測(cè)及觸發(fā)的相關(guān)IOC對(duì)象進(jìn)行關(guān)聯(lián)匹配，這里可以看到該樣本執(zhí)行后訪問了一個(gè)境內(nèi)已經(jīng)被標(biāo)記為攻防演練的IP地址，而樣本本身也被標(biāo)記為木馬。

圖9 威脅情報(bào)關(guān)聯(lián)信息

行為異常

紅雨滴高對(duì)抗沙箱針對(duì)分析的樣本智能的輸出了豐富的行為異常分析結(jié)果，分別會(huì)以紅色、粉色和綠色順序排列樣本執(zhí)行過程中的異常行為，紅色代表高危，粉色代表中危，綠色代表一般的低危行為。

而通過該樣本的行為異常可知，樣本創(chuàng)建了PowerShell進(jìn)程，并且利用PowerShell向某個(gè)IP地址進(jìn)行了下載執(zhí)行的高危操作。

圖10 紅雨滴沙箱行為異常結(jié)果

文件深度解析

文件深度解析是紅雨滴沙箱內(nèi)置的自研RAS引擎的又一大獨(dú)創(chuàng)的亮點(diǎn)功能。其主要設(shè)計(jì)思路為應(yīng)對(duì)復(fù)雜的抽象文件形態(tài)：壓縮包、復(fù)合二進(jìn)制文檔、郵件、多層包裹/壓縮/加殼后的復(fù)雜文件體等等。引擎通過層層遞歸“解包”拆解的方式，將目標(biāo)“文件”的所有“外衣”剝離，并通過獨(dú)有的文件內(nèi)部父子關(guān)系描述能力，獲取文件特有的基因特征：包括復(fù)合二進(jìn)制文檔的屬性信息、URL、OLE、宏信息、PE文件的殼、包、子流HASH、多文件關(guān)系信息等基因信息。

而通過紅雨滴高對(duì)抗沙箱集成的文件深度解析能力，我們通過沙箱報(bào)告很輕松的就可以發(fā)現(xiàn)暗藏于CHM文件HTML腳本中的惡意PowerShell腳本。分析人員完全不需要對(duì)分析文件進(jìn)行本地化操作，即可輕松發(fā)現(xiàn)暗藏的惡意代碼，非常的方便快捷。

圖11 紅雨滴沙箱文件深度解析結(jié)果

圖12 紅雨滴沙箱文件深度解析結(jié)果

主機(jī)行為及網(wǎng)絡(luò)行為

紅雨滴沙箱提供的主機(jī)行為分析圖則非常的簡(jiǎn)潔明了，通過該樣本的主機(jī)行為分析圖，我們一眼就看出了惡意樣本的執(zhí)行流程：通過系統(tǒng)自帶的hh.exe打開CHM文檔后便觸發(fā)執(zhí)行了PowerShell.exe進(jìn)程，而PowerShell最終訪問了IP地址：42[.]51.29.104。

圖12 紅雨滴沙箱主機(jī)行為信息

而進(jìn)程鏈信息也清晰的展示了整個(gè)執(zhí)行過程，以及PowerShell.exe進(jìn)程所執(zhí)行的腳本信息。

圖13 紅雨滴沙箱進(jìn)程鏈信息

運(yùn)行截圖

紅雨滴沙箱提供的運(yùn)行截圖也可以清晰的觀察樣本的執(zhí)行過程，在這里可以清楚的看到CHM文檔打開后的文檔內(nèi)容。

圖14 紅雨滴沙箱運(yùn)行截圖

紅雨滴沙箱格式化報(bào)告下載

紅雨滴沙箱還提供了生成三類格式化報(bào)告的功能，分別有：WORD報(bào)告、HTML報(bào)告和PDF報(bào)告，滿足了分析人員快速輸出對(duì)應(yīng)報(bào)告的需求，注冊(cè)用戶通過點(diǎn)擊概要信息底部的按鈕，便可即刻生成下載對(duì)應(yīng)的沙箱格式化報(bào)告。

圖15 紅雨滴沙箱自動(dòng)生成的WORD報(bào)告

圖16 紅雨滴沙箱自動(dòng)生成的PDF報(bào)告

紅雨滴沙箱人工分析服務(wù)

最后，紅雨滴沙箱還提供了人工分析服務(wù)，如果樣本分析失敗或者分析結(jié)果明顯有誤，都可以通過點(diǎn)擊概要信息底部的人工分析按鈕進(jìn)行反饋。

圖16 紅雨滴沙箱人工分析入口

圖16 紅雨滴沙箱人工分析提交頁(yè)面

樣本分析總結(jié)

至此，通過紅雨滴高對(duì)抗沙箱的輔助分析，我們很容易借助沙箱的幫助出具一份較為詳細(xì)的分析報(bào)告，還是以該CHM樣本為例：

圖14 CHM樣本html腳本信息

第二段Powershell依舊是解碼硬編碼的數(shù)據(jù)，循環(huán)解密之后通過Invoke加載執(zhí)行。

圖15 CHM樣本遠(yuǎn)程加載的PowerShell代碼

關(guān)于紅雨滴高對(duì)抗沙箱

紅雨滴高對(duì)抗沙箱是威脅情報(bào)中心紅雨滴團(tuán)隊(duì)基于多年的APT高級(jí)攻防對(duì)抗經(jīng)驗(yàn)、安全大數(shù)據(jù)、威脅情報(bào)等能力，使用軟、硬件虛擬化技術(shù)開發(fā)實(shí)現(xiàn)的真正的“上帝模式”高對(duì)抗沙箱，協(xié)助奇安信威脅情報(bào)中心及相關(guān)安服和客戶發(fā)現(xiàn)了多個(gè)在野0day漏洞攻擊、nday漏洞攻擊，和無(wú)數(shù)計(jì)的APT攻擊線索及樣本，是威脅情報(bào)數(shù)據(jù)產(chǎn)出的重要基石。

威脅情報(bào)中心紅雨滴高對(duì)抗沙箱早在一年多以前便是奇安信所有產(chǎn)品中唯一被業(yè)內(nèi)權(quán)威威脅分析廠商VirusTotal所集成的威脅分析類產(chǎn)品：

https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

圖16 紅雨滴沙箱已集成VirusTotal

并且，紅雨滴沙箱也是VirusTotal中對(duì)惡意樣本行為檢出率最高的沙箱產(chǎn)品，部分高危樣本可以通過點(diǎn)擊BEHAVIOR選項(xiàng)卡查看到VirusTotal-紅雨滴沙箱的分析報(bào)告：

https://www.virustotal.com/gui/file/99578e17b3b03ed841c869a6f8497a8786bb1765ff4a32b134e16a30844887f0/behavior/QiAnXin%20RedDrip

圖16 VirusTotal樣本動(dòng)態(tài)分析結(jié)果中集成的紅雨滴沙箱分析結(jié)果

參考鏈接

[1].https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

[2].https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AXhnj3KKxyHYZ1u3stXj