天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

一、概述

2023年2月23号,天穹云沙箱捕获针对某国企的钓鱼样本:该样本通过文件名、文件图标伪装诱骗用户点击运行,样本运行过程通过沙箱对抗、加密通讯等多种手段逃避威胁检测。天穹沙箱从多个维度对样本进行了自动化深度分析,第一时间向用户出具了详细的分析报告,并对客户进行告警。由于该样本有许多的典型行为,本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。

二、样本基本信息

SHA1: 744eac0727293ef01f742f015760c9d4ed106eae
文件名: xxx有限公司若干员工邮箱登录地异常.exe
文件类型: exe
文件大小: 238 KB

三、沙箱分析报告

1. 综合评价

如图1所示,根据天穹沙箱的分析环境智能选择策略,样本自动化进入Windows7 x64 环境运行。经过沙箱多维度的深度分析,最终判定样本为恶意样本,同时生成静态引擎、动态行为、网络行为等多维度标签信息,如:通过威胁配置提取模块识别该样本为Metasploit家族,通过流量解密和分析模块识别样本存在加密流量通讯,HOST伪装,证书自签名等。

图1 样本分析报告之综合评价

2. 静态分析

通过沙箱系统的静态分析可知,样本通过多种方式伪装自己,从而达到欺骗诱导小白用户的目的。如图2所示,样本通过文件名和图标伪装成文档,诱导用户打开样本。

图2 文件名和图标

如图3所示,样本构造PE文件结构,伪装成网易公司-有道云笔记产品,让样本看起来更像正常软件。

图3 PE文件信息

3. 动态分析

3.1 威胁配置

基于天穹沙箱的数据提取能力,通过扫描样本文件和动态运行内存转储文件(Memory Dump),可提取样本的威胁配置信息,并自动化生成威胁情报。如图4所示,沙箱系统识别该样本为Metasploit家族,通过HTTPS协议去连接C2地址。

图4 威胁配置信息

3.2 动态行为

通过分析报告的动态行为类目栏,我们可以看到沙箱系统捕获到样本运行时有弹框行为,如图5所示,且弹框内容与图6样本中代码一致,确认样本通过弹出伪装的对话框,既可以欺骗受害者,也能绕过一些交互对抗。

图5 弹框行为
图6 弹框代码

样本完成一系列的对抗后,最终会通过网络下载后续的恶意代码。通过图7,我们可以看到样本尝试去连接若干IP的443端口。

图7 动态行为

3.3 网络行为

  • 证书检测

如图8所示,从分析报告的”联网活动追踪“-”证书信息“栏中,我们看到该HTTPS连接对应的服务端证书持有者为aaa certificate services,证书为自签名证书。

图8 联网活动追踪-证书信息
  • 流量解密

利用天穹沙箱的HTTPS流量解密能力,如图9所示,从”联网活动追踪“-”HTTPS请求“栏中我们可以看到样本通过HTTPS连接去访问了URL:https[:]//tls-service.weixin.tencent.cn/en-us/silentauth,似乎是请求腾讯的某个服务。从HTTP响应结果中,我们看到服务端采用的Web服务器是Microsoft-IIS,实际验证发现,两级域名tls-service.weixin.tencent.cn、weixin.tencent.cn都不存在,tencent.cn域名会301自动跳转到tencent.com,Web服务器使用的是nginx。结合证书检测,我们也可知道服务端证书持有者为 aaa certificate services,而非腾讯。
这些迹象表明,样本访问的是自建的第三方服务,而非腾讯的官方服务。

图9 联网活动追踪-HTTPS请求
  • 流量分析

进一步地,如图 10、图 11所示,我们从”联网活动统计“-”网络连接“,以及”联网活动统计“-”IP地址信息“栏中,我们看到样本访问443端口对应的IP,显示为直连IP,即该IP没有对应的DNS解析流量,并非通过常规的域名DNS解析结果得到。由于沙箱分析环境中没有相关域名的DNS缓存,那样本是如何解析域名获得域名对应的IP地址的呢?

图10 联网活动追踪-网络连接

图11 联网活动统计-IP地址信息

最后,我们从“联网活动统计”-“HOST伪装”可以看到,https[:]//tls-service.weixin.tencent.cn/en-us/silentauth对应的URL实际为https[:]//119.167.147.250/en-us/silentauth,这种HOST伪装技巧可以导致wireshark等流量还原工具显示的访问地址并非样本真实访问的地址。

图12 联网活动追踪-HOST伪装检测

四、人工分析

为了进一步确认样本的恶意性,我们对样本进行了反编译分析,发现该样本使用了多种反沙箱技术去规避沙箱检测,但天穹沙箱的自动化分析不受这些反沙箱对抗技术的影响,仍然能够正常分析。

1. 判断CPU核心数

如图13所示,样本通过判断CPU核心数去识别沙箱特征。

图13 判断CPU核心数

2. 用户名校验

如图14所示,通过CPU核心数检测之后,样本会再次进行特定计算机名称校验,如果校验不通过,则会直接退出。校验通过后,会弹出堵塞的窗口,弹窗信息具有一定迷惑性,以达到欺骗受害者触发点击操作。因为窗口若不被点击则不会释放后续的恶意行为,所以堵塞弹窗可对抗无智能化交互的沙箱系统。

图14 用户名校验

3. Shellcode加载

如图15、16所示,样本完成各种校验后,通过MSF Shellcode跳转执行,最终会连接C2主机:119[.]167[.]147[.]250,循环下载Beacon。

图15  MSF Shellcode跳转执行

图16 循环下载Beacon

4. Beacon执行

如图17所示,Shellcode循环下载Beacon成功后加载到内存中执行。

图17 跳转Beacon 执行

从上述人工分析结果可以看出,天穹沙箱系统不仅成功绕过了样本的各种反沙箱分析对抗措施,并且自动化分析结果详细、准确、全面。

五、IOC

1
2
3
4
5
6
b35d6d91ff2ca1cb852e564604e99f86
119.167.147.250
183.246.191.193
https[:]119.167.147.250/collect/V2/
https[:]//119.167.147.250:443/en-us/silentauth
https[:]//183.246.191.193:443/en-us/silentauth

六、技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com
天穹沙箱使用指南