紅雨滴云沙箱“白加黑”檢測+HTTPS解密,識破利用微軟域名的CDN隧道木馬攻擊
概述
近期,紅雨滴云沙箱威脅狩獵流程監控到大量通過CDN隧道隱藏攻擊者真實C2的樣本,這表明借助CDN隱匿蹤跡已成為一種常用手段。并且我們還看到攻擊者采取多種手段試圖繞過終端安全軟件和網絡安全設備的檢測,比如利用DLL側加載(又稱“白加黑”)配合域前置技術針對終端和流量安全檢測進行繞過等。
前期我們已經對CDN隧道木馬樣本進行了詳細介紹,今天又一例CDN隧道木馬樣本進入我們視野:紅雨滴云沙箱首先基于側加載(白加黑)檢測技術識別到該攻擊樣本,結合紅雨滴云沙箱的進一步分析,我們確認該攻擊樣本還借助微軟域名進行CDN隧道通信,以躲避網絡流量檢測設備的檢測。
紅雨滴云沙箱“白加黑”檢測技術識別到疑似惡意樣本
相關樣本分析
樣本基本信息
使用紅雨滴沙箱分析樣本
通過訪問紅雨滴云沙箱入口(https://sandbox.ti.qianxin.com/sandbox/page) 使用沙箱進行輔助分析
紅雨滴云沙箱分析入 在上傳待分析文件后,可以手動設置沙箱分析參數:分析環境(操作系統)、分析時長等。由于紅雨滴云沙箱針對各類樣本已經進行了智能化判定,所以基本上以默認方式提交檢測即可。點擊“開始分析”按鈕后,會自動跳轉到對應樣本的分析檢測結果頁面。稍等數分鐘則可以看到整個樣本的詳細分析報告。
上傳分析完成后,通過概要信息可看到該樣本的基本信息:包括hash、文件類型、文件大小等,同時RAS檢測到帶簽名的PE文件。可見紅雨滴云沙箱基于智能的惡意行為綜合判斷已經識別出文件可疑并給出了10分的惡意評分,通過概要信息的文件信譽檢測信息可見樣本已被云端打上了惡意標簽。
紅雨滴云沙箱提供Restful API接口,可將深度惡意文件檢查能力集成到企業安全運營系統或安全廠商產品中,進行惡意文件檢測。通過點擊導航欄的AV引擎可以看到樣本的殺軟引擎檢測結果。
點擊右側導航欄的深度解析功能,可以看到樣本壓縮包的基本信息,其中流文件信息部分列出了壓縮包所包含的文件,點擊文件列表右側的部分還可以看到內部文件的基本信息:包含一個EXE和一個DLL文件。
沙箱報告的行為異常部分列出了樣本運行后的一些可疑行為:例如,分配可讀、可寫、可執行內存空間,以及執行HTTP請求。
通過查看紅雨滴云沙箱主機行為及網絡行為,可以看到該樣本會嘗試連接微軟域名officecdn.microsoft.com,并向該域名的其中一個解析IP發送可疑請求。
實際請求的IP (42.185.157.229)為officecdn.microsoft.com域名通過CDN綁定的一個IP。在樣本向該IP發送的請求中,HTTP首部的host字段域名為whoamb.microsoft.com,而這個域名無法被解析。
經過沙箱輔助分析,解讀分析報告后,我們可以初步判斷該樣本很可能是利用CDN隧道進行通信的木馬樣本,并借助微軟域名進行流量偽裝。
詳細分析
攻擊樣本使用dll側加載技術,exe文件為某協同辦公軟件,本身為正常文件,不過它加載的dll文件為攻擊者生成的惡意文件。惡意功能在dll的導出函數allocStringFromWideChars中:從dll文件的資源區獲取數據,經過base64解碼和一系列處理得到shellcode,最后執行shellcode。
加載的shellcode為Cobalt Strike生成的beacon木馬,其配置信息如下,其中C2和SSH banner的配置符合beacon木馬的域前置配置方式,結合樣本在紅雨滴云沙箱中的行為,可以確定該攻擊樣本是通過CDN隧道進行通信。
部分IOC信息
MD5:
cf71dba0089581e7ddc5c93836795064
67a84b2da8cee167eef7bd9f4f247a15
域名:
whoamb.microsoft.com(域名本身非惡意,作為偽造的加速域名,用于CDN隱藏通信)
關于紅雨滴云沙箱
紅雨滴云沙箱是威脅情報中心紅雨滴團隊基于多年的APT高級攻防對抗經驗、安全大數據、威脅情報等能力,使用軟、硬件虛擬化技術開發實現的真正的“上帝模式”高對抗沙箱,協助奇安信威脅情報中心及相關安服和客戶發現了多個在野0day漏洞攻擊、nday漏洞攻擊,和無數計的APT攻擊線索及樣本,是威脅情報數據產出的重要基石。
威脅情報中心紅雨滴云沙箱在兩年多以前即被威脅分析廠商VirusTotal集成:
https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
紅雨滴云沙箱已集成VirusTotal
并且,紅雨滴云沙箱也是VirusTotal中對惡意樣本行為檢出率最高的沙箱產品之一,部分高危樣本可以通過點擊BEHAVIOR選項卡查看到VirusTotal-紅雨滴云沙箱的分析報告。
VirusTotal樣本動態分析結果中集成的紅雨滴云沙箱分析結果
