概述
在2023年开展的攻防演习期间,红雨滴云沙箱(https://sandbox.ti.qianxin.com/)以其出色的分析能力被众多用户青睐,演习相关样本在云沙箱的投递次数总计达到了上10,000次,其中包括大量的攻击样本。
本文以红雨滴云沙箱捕获到的演习攻击样本为基础,结合对部分样本的深入分析,总结这些样本所用手法和具有的特点。钓鱼邮件仍是攻击者常用的投递恶意样本的入口,样本通过各种方式伪装自身,诱使受害者点击打开。样本运行后再借助行为伪装进一步迷惑受害者,为了对抗沙箱分析,不少样本都包含了多种沙箱检测手段。样本使用的编程语言呈现多元化局面,并结合加壳和代码混淆阻碍人工分析,同时采用多层解码和载荷内存执行的方法绕过查杀。此外,云沙箱还捕获到利用文档处理软件0day漏洞的恶意文档。
攻击入口:钓鱼邮件
从红雨滴云沙箱监控到的攻击样本来看,钓鱼邮件仍是攻击方频繁使用的初始入侵手段。用户可以使用威胁情报中心阿瑞斯武器库的红雨滴邮件检测功能(https://ares.ti.qianxin.com/ares/tools/mail)对原始邮件的安全性进行检测。
多种钓鱼手法
攻击者采用的钓鱼手法除了针对目标单位制作定向钓鱼邮件,还有采用广撒网式的群发邮件。在一起针对金融行业的攻击中,攻击者发送的钓鱼邮件收件邮箱地址多达数十个,涉及多家金融机构,下面展示了红雨滴邮件检测功能对相关钓鱼邮件的分析结果。(邮件检测链接:https://ares.ti.qianxin.com/ares/tools/maildetails/655ffabea215f33cc526565a5f9f89136ea57d33?istextshow=true)
加密附件
而为了让钓鱼邮件避开针对附件的检测,攻击者也采取了一些措施,常用的方式是对附件加密,并在邮件正文中给出解压密码。
样本文件类型与初始伪装
红雨滴云沙箱捕获的攻击样本以压缩包和EXE文件居多,为了诱使受害者点击打开,样本往往从图标和文件名等方面进行伪装。
文件类型
单体EXE文件不少是未经过额外包装的木马后门程序,另一些则会释放诱饵文档或者后续组件。对于包含多个攻击组件的样本,攻击者也会选择用RAR或ZIP压缩打包然后投放给受害者。压缩包相比单体EXE的一个优势在于,如果压缩包中只有部分文件被发现并投入沙箱分析,就无法获取样本的完整可疑行为。
除了压缩包和EXE,还有一些其他文件类型的攻击样本出现在云沙箱中,比如镜像文件ISO和安装包文件MSI等,攻击者试图通过这些文件类型避开杀软的常规静态检测。
初始伪装
(1)文件名和图标伪装
攻击者常通过精心选择的文件名和图标迷惑受害者,吸引其打开文件,进而运行恶意程序。文件名大体上可以分成文档类和工具类两大类别。文档类的文件名又可以细分为如下所示的不同主题,此类样本用于伪装的图标基本上是Office文档、WPS文档和PDF文档的图标。
文件名主题类型 | 样本名称示例 |
简历/招聘 | ***保险Java资深研发工程师招聘需求.pdf.exe 简历-***-清华大学.rar个人简历-***.exe |
通知/通告 | 关于调整**基层干部员工2023年7月份绩效考核结果的通知.7z 关于集团调岗降薪通知详情.exe关于加强防范钓鱼邮件的通知.exe2023年中国****集团有限公司七夕活动安排.exe关于公司王某、徐某某、张某等多人在国家演练期间的违反公司规定的情况通报.exe开展OA弱口令排查的紧急通知.zip |
数据信息/文件资料 | 团队个人业绩提成分红核对.exe 中国*****数据中心资产评估服务采购投标材料.exe附件2:****第六届监事会第五次会议联络人人选拟定列表.docx.exe数据脱敏在数据中台产品的实践与应用-0814.docx.exe附件4.支撑性证明材料参考清单.exe |
问题反馈/投诉举报 | 中国****交易所-业务流程审批问题.exe 招标投诉反馈附件.zip20230815投诉证据(聊天记录,客服工号).exe*******办公厅-经费及会议费、培训费涉嫌挪用公款20230817.zip20230817**航空收到客户投诉信息详情.exe |
工具类的名称伪装也分为几种子类:普通工具、软件更新、安全防护工具,其中尤以安全防护工具的伪装居多。此类样本有些会使用被模仿厂商或者单位的图标。
文件名主题类型 | 样本名称示例 |
普通工具 | flashplayerpp_install_cn_web.exe 正版软件检查工具客户端V2.3.exe |
软件更新 | OAupdate.exe 中车系统更新程序v2.2.10115.exe |
安全防护工具 | **证券网络安全检测客户端.exe **银行员工终端自查.exe火绒终端安全安全防护工具.zip**终端防护工具.zip奇安信专杀工具.exe安全检查工具-v1.41.zip终端敏感信息排查工具.msi |
(2)目录隐藏或伪装
该伪装手法常见于压缩包样本,攻击者将一些恶意组件放在压缩包的隐藏目录或者伪装为特殊文件夹的目录中,当受害者解开压缩包后,只看到部分文件,以降低受害者的警惕心。不少样本将存放恶意组件的目录伪装成macOS系统产生的特殊文件夹,比如下面的“**跳动-刘**.zip”和“2023第三季度绩效自评.zip”。
样本行为特点
常见攻击方式
演习中的攻击样本除了以EXE文件直接启动,还频繁使用LNK文件和DLL白利用加载恶意组件。
在Windows文件资源管理器中,即使开启“显示文件类型扩展名”选项,LNK文件的扩展名”.lnk”也不会直接出现在信息界面中,再配合与文件名称相符的图标,使得攻击者生成的LNK文件极具迷惑性。
由于Windows加载动态链接库 (DLL) 的规则,可执行程序首先将在当前目录中查找需要的DLL。攻击者利用该特点可以实现DLL文件劫持,借助正常EXE程序加载自己编写的放置在特定目录(比如当前目录)下的DLL文件,进而执行其中的恶意行为。而且有些合法的应用程序带有数字签名,因此可能被安全防护软件所信任而绕过设置的白名单。
红雨滴云沙箱内置的RAS引擎检测到大量使用LNK文件和DLL白利用进行攻击的样本。
行为伪装
为了避免引起受害者怀疑,有些样本运行时会执行一些行为伪装成正常的文件或应用程序,常见的有打开诱饵文档。
其他伪装行为还有:
(1)模拟程序出现异常而报错,下面的样本通过主动创建WerFault.exe进程迷惑受害者;
(2)将后续组件仿照合法系统文件名进行命名,比如借用远程桌面连接程序的名称mstsc.exe;
(3)或者是访问正常域名。
网络通信
不少样本通过云服务域名或者IP直连完成网络通信,而另一些样本则采用域前置的手法将网络通信流量伪装为合法流量,同时隐藏真实C2服务器。
攻击者实现域前置网络通信的过程大致如下。如果一个真实存在的域名A通过CDN进行加速,那么攻击者可以在同一个CDN服务商中将C2与自己选择的域名B进行绑定,而域名B不一定真实存在,也不一定和攻击者有关,只要它没在CDN服务商处被其他用户绑定。因为CDN节点会根据HTTP请求首部的Host字段转发到绑定的IP,所以如果攻击者在Host字段填入绑定自己IP的域名B,而向域名A发起请求,网络通信数据实际上会被发送到CDN服务器节点,进而转发到攻击者控制的IP。
使用域前置手法的样本所用域名也各式各样,有借用地方政府域名完成伪装的;
也有利用正常的企业域名绕过流量检测的;
还有用伪装为安全厂商相关的域名进行恶意流量隐藏的;
沙箱检测
为了对抗沙箱分析,样本使用多种手段检测运行环境是否为真实受害主机,包括但不限于检测语言、检测CPU数量、检测内存大小、检测样本的文件路径、检测访问特定网站获取的内容中是否包含指定字符串,检测网络出口IP等。
云沙箱在演习后期捕获到多个会检测运行环境公网IP的攻击样本,这些样本在其他环境检测通过后,向IP查询网站发起网络请求,以获取主机的公网IP,然后比较其是否在内置的IP黑名单中。下图是某样本用于检测网络出口IP时使用的IP黑名单。
样本代码特点
编程语言多样化
红雨滴云沙箱捕获的演习攻击样本涉及多种编程语言,包括C/C++、C#、Go、Python、Rust、Lua等。其中一些样本通过语言新版特性和对样本文件本身进行处理,使相关分析工具失效,避免直接暴露源码,或是借助一些跨语言调用机制,加大分析难度。
比如Go样本通过Cgo实现与C/C++代码之间的交互。
有些PyInstaller打包的样本则利用Python反编译工具暂不支持处理新版Python中的某些指令码,使其无法完整恢复出源码,或者通过Nuitka将自定义的Python库代码转换为调用Python-C接口的C/C++模块。
加壳与混淆
加壳与代码混淆是恶意样本用来保护代码逻辑的常用手段。比如样本“团队个人业绩提成分红核对.exe”利用VMProtect进行保护,后续释放的白加黑组件也同样加了VMProtect保护壳。
一些样本则通过花指令和控制流平坦化等代码混淆方法隐藏其核心逻辑代码。
多层解码与内存执行
为了绕过终端防护软件对恶意代码的检测,攻击样本往往通过各种方式解码并内存加载执行最终载荷。以下几个样本所用手法比较有代表性。
(1)资源数据载荷自解密
将后续载荷放在EXE文件的资源数据中,载荷执行后进行一系列自解密操作,然后得到Go编写的代码。
(2)文件数据解密出后续载荷
DLL白利用组件中的恶意DLL读取与EXE同名的”.ini”文件,并借助advapiI32.dll的systemfunction032函数从中解密出shellcode并执行。
(3)从字符串和其他数据中恢复后续载荷
Python代码对数据进行异或处理,并转为字符串,然后调用内置函数exec执行。
Exec执行的代码如下所示,shellcode以加密方式存放在PEM文件内容中,对其解密后,借助ctypes调用Windows API执行shellcode。
漏洞利用
漏洞利用是攻击者的一大重量级武器,尤其是结合诱饵内容的文档类漏洞更是让受害者措手不及。在演习后期,红雨滴云沙箱捕获到针对国产文档处理软件的0day漏洞利用文件。攻击者借助该漏洞可实现远程命令执行,且打开文档后无需任何用户交互即可触发。
总结
根据演习期间红雨滴云沙箱捕获到的相关恶意样本,我们发现攻击者频繁使用钓鱼邮件对目标发起攻击,通过不同类型的文件名和图标对文件进行伪装,诱使受害者打开,进而运行恶意程序。恶意程序还借助行为伪装进一步迷惑受害者,同时采用多种手段对抗安全软件的动静态检测和阻碍人工分析过程。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。