隱秘的角落？紅雨滴云沙箱帶你揭秘CDN隧道木馬

概述

未知攻，焉知防？隨著基于威脅情報的安全產品/服務取得長足的進步和巨大的成功，威脅情報相關的應用價值效果顯著，導致了攻擊者的相關C2等很容易迅速遭到封殺，攻擊者不斷的謀求新出路，使用域前置、域隱藏、域借用等隱藏真實C2的攻擊手法也越來越多。

近期奇安信威脅情報中心紅雨滴團隊捕獲了一批使用CDN隧道進行通信的攻擊樣本。這種隱藏真實C2的技術在近幾年使用得非常廣泛，紅雨滴團隊將此類使用CDN IP地址隱藏真實C2，進行木馬隱蔽通信和數據轉發的技術統一命名為CDN隧道。

防患于未然，我們以近期發現的使用CDN隧道進行HTTPS通信的樣本為例，借助紅雨滴云沙箱的HTTPS解密功能分析這類樣本，并探秘CDN隧道木馬的基本原理。

樣本信息

近期捕獲的攻擊樣本基本信息如下，表中附有紅雨滴云沙箱分析報告鏈接：

樣本執行后釋放的誘餌內容如下，偽裝為國內某電商公司的招聘信息。

CDN隧道木馬分析與探秘

樣本以“****集團運營招聘部分JD信息************OperationalRecruitmentJDInformation.docx.exe”為主題的誘餌，并且是中英文雙語，使用過長的文件名目的就是為了隱藏最后的.exe后綴，進一步欺騙受害者。我們將以此文件為例來演示如何通過紅雨滴云沙箱（https://sandbox.ti.qianxin.com/sandbox/page）進行輔助分析。

樣本基本信息

使用紅雨滴云沙箱分析樣本

通過訪問紅雨滴云沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page）使用沙箱進行輔助分析

紅雨滴云沙箱分析入口

在上傳待分析文件后，可以手動設置沙箱分析參數：分析環境（操作系統）、分析時長等。由于紅雨滴云沙箱針對各類樣本已經進行了智能化判定，所以基本上以默認方式提交檢測即可。點擊“開始分析”按鈕后，會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。

上傳分析完成后，通過概要信息可看到該樣本的基本信息：包括hash、文件類型、文件大小等。可見紅雨滴云沙箱基于智能的惡意行為綜合判斷已經識別出文件可疑并給出了10分的惡意評分，通過概要信息的文件信譽檢測信息可見樣本已被云端打上了惡意標簽。

通過點擊導航欄的AV引擎檢測可以看到樣本免殺效果不錯，大部分殺軟并未報毒。

紅雨滴云沙箱HTTPS解密功能分析CDN隧道

由于該樣本使用了CDN隧道通信技術，在這里我們直接通過右側導航欄點擊查看網絡行為選項對樣本的通信過程進行分析。

1. 首先，樣本通過某個能解析到和攻擊者使用的“加速域名”同一個CDN服務商的域名地址進行CDN IP列表的獲取，如圖：樣本獲取到******.***china.com響應的8個CDN IP地址。

2. 第二步，樣本選擇了其中一個CDN IP地址與自己的C2服務器進行轉發通信，具體的方法為：將HTTPS的GET請求中Host字段填充為攻擊者在CDN服務商那里進行加速的域名，而這個域名可以使用某些高信任的域名，比如微軟、騰訊的域名，只要這些域名未在對應CDN服務商那里注冊域名加速，因為不需要進一步的DNS解析，那么這里的HOST是可以隨意注冊高信任的加速域名的（只要在CDN服務商處未被注冊）。可以看到， 紅雨滴云沙箱由于對HTTPS進行了解密 ，可以直接觀察到HTTPS通信發送的信息，這對分析人員是透明的。并且紅雨滴云沙箱針 對HOST與實際請求的IP地址不匹配 進行了優化，這里看到的就是真實的HTTPS請求的IP + URL地址， 所見即所得 ！

3. 最終，CDN服務商的IP：1.199.92.112接受到了攻擊樣本發送的HTTPS請求后，通過HOST中指定的加速域名：sso.mail.***china.com（攻擊者注冊的加速域名，并非真實的DNS域名），將通信數據轉發至攻擊者真實的C2地址上。從而完成了C2地址的隱藏。

CDN隧道通信的基本原理

通過上述樣本分析，我們基本可以知道利用CDN進行C2隱藏和隧道通信的基本攻擊步驟，如下：

1. 首先在某個CDN運營商處注冊需要加速的域名，該域名只要在CDN運營商處未被注冊域名加速即可，與該加速域名的 DNS能否正常解析和是否注冊無關。

2. 通過同一個CDN運營商處注冊的正常的域名來獲取CDN IP列表，或者直接與已知的該運營商的CDN IP地址通信。

3. 通過往第2點中獲得到的CDN IP地址發送請求數據來實現將木馬通信數據通過CDN IP地址轉發至攻擊者真實的C2地址的目的。轉發規則為：數據轉發至請求數據中的HOST地址（加速域名，相當于攻擊者的轉發規則，加速域名轉發的服務器地址由攻擊者指定）在CDN運營商處指定接收的服務器地址（C2）。

云沙箱關聯分析

得到相關C2信息后，我們可以利用云沙箱高級搜索功能對樣本進行關聯分析。紅雨滴云沙箱提供有強大的IOC信息關聯查詢功能（紅雨滴云沙箱高級搜索也提供了相同的功能入口）。在云沙箱報告的多個元素中都提供了TI及關聯查詢的功能。比如，在沙箱報告會話信息給出的IP地址的右側，便有TI查詢和關聯查詢兩種查詢功能按鈕。

通過會話信息右側的對角圓圈圖標點擊關聯具有相同C2的樣本列表

也可以在沙箱首頁的高級搜索中選擇IP進行關聯搜索，點擊首頁中的搜索選項卡中的高級搜索按鈕：

再選擇動態行為domain，填入C2地址: ******.***china.com，進行搜索關聯

通過對樣本網絡行為domain關聯便可查找出多個同源樣本：

樣本載荷分析

樣本使用go作為開發語言，并使用MinGW進行編譯，運行后，首先使用TLS進行反調，然后通過判斷系統內存、處理器個數、時間差等進行反沙箱操作。隨后在%temp%目錄下釋放誘餌文檔，然后通過調用cmd.exe將誘餌文檔打開以迷惑受害者。

Shellcode使用BASE64編碼，在解碼后進行調用。

最終解密執行的ShellCode是常見的Cobalt Strike生成的。

總結

聰者聽于無聲，明者見于未形。感知不到風險，才是最大的風險。奇安信紅雨滴團隊在此提醒廣大用戶，切勿打開社交媒體分享的來歷不明的鏈接，不點擊執行未知來源的郵件附件，不運行夸張標題的未知文件，不安裝非正規途徑來源的APP。做到及時備份重要文件，更新安裝補丁。

若需運行，安裝來歷不明的應用，可先通過奇安信威脅情報文件深度分析平臺（https://sandbox.ti.qianxin.com/sandbox/page）進行判別。目前已支持包括Windows、安卓平臺在內的多種格式文件深度分析。

目前，基于奇安信威脅情報中心的威脅情報數據的全線產品，包括奇安信威脅情報平臺（TIP）、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等，都已經支持對此類攻擊的精確檢測。

部分IOC信息

MD5：

357aadd93bca03bd0ba555456384b019

155e5ac0d41d6e31787800b85e9a1782

4e64064e83485084f74278395f99ea7b

域名:

sso.mail.***china.com（域名本身非惡意，偽造的加速域名被用于CDN隱藏通信）