天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

一、前言

近日,有相关研究人员披露,在2022年12月到2023年1月间,利用邮件投递内嵌恶意软件的OneNote应用文档的攻击活动明显增多。攻击者将恶意软件嵌入在OneNote文档中,诱使用户点击文档后触发恶意文件执行,进而达到攻击目的。
Microsoft OneNote是Microsoft推出的数字笔记本,最新版包含在Microsoft 365产品套件中,旧版可单独安装,其应用文件的扩展名为.one。自2022年Microsoft默认阻止宏运行后,攻击者将OneNote作为一种新的TTP攻击技术,在OneNote文档中嵌入文件诱导用户点击,通常这些内嵌文件隐藏在按钮图片背后。当用户双击嵌入的文件时,OneNote程序将提出警告,如果用户单击“继续”,嵌入文件将被执行。如图1所示。

图 1 OneNote样本

目前,使用OneNote文档进行攻击的样本较为少见,我们提醒大家,来源不明的文件不要轻易打开,攻击者经常会变换使用不同格式的文件进行攻击。打开文件前建议大家使用天穹沙箱鉴定文件的可疑性,避免成为网络钓鱼的受害者。

二、同行检测情况

经实际验证,同行的沙箱检测环境中,对one类型样本的分析支持多数不够完善,即使在VirusTotal上也没有沙箱动态分析的结果。如图2、3、4所示。

图 2 沙箱不支持one类型样本分析

图 3 沙箱分析结果不明确

图 4 VT上没有one类型样本的动态分析结果

三、案例分析

2023年2月6号,天穹云沙箱研究人员关注到了网络上的一个OneNote类型样本,该样本包含一个图片点击按钮,按钮下隐藏有多个update.dat恶意文件,当用户点击按钮并忽略OneNote程序的安全提示后,update.bat文件就会通过点击事件被OneNote应用执行起来。
天穹云沙箱研究人员使用天穹Windos沙箱全面分析了该样本,分析报告中详细列举了样本的攻击手段和触发方式。由于该样本比较典型,本次我们以该样本为例,向大家展示天穹沙箱的样本分析能力,并解读沙箱分析报告中的各类结果数据。

3.1 样本基本信息

样本文件名: attachment.one
样本SHA1: 6460f37fc045541c01d9f12c3a33101f2b6c31f7
文件类型: one
文件大小: 68.5 KB
天穹沙箱分析报告: 链接

3.2 利用天穹沙箱分析样本

通过公司内网或VPN访问天穹沙箱系统(网址:https://sandbox.qianxin-inc.cn),点击“企业域账号登录”,使用个人域账号或奇安信ID扫描页面二维码登录系统。登录后即可看到样本上传界面,如图5所示。

图 5 样本上传界面

在样本上传界面,用户可以直接点击样本选择框,选择需要上传分析的样本。此时,系统将采用智能分析模式,自动根据样本类型选择合适的分析参数,包括操作系统、应用环境、分析时长等参数,开启分析过程。
用户也可以自行选择分析环境,点击“高级选项”按钮,手动设置分析系统、环境类型、分析时长等选项,点击“确认选择”按钮保存配置,再点击样本选择框,选择要上传分析的样本,此时,系统将根据用户配置的环境参数对样本进行分析。
在本例中,我们选择Windows 10 x86-64分析系统,环境类型选择Fast快速分析环境,开启网络模拟开关,上传样本进行分析。
样本上传后系统自动跳转到“任务列表”标签页,在该标签页的样本列表中,展示了用户当前正在分析的样本和历史完成分析的样本。当样本分析状态更新为“完成分析”时,表示沙箱系统已为样本生成对应分析报告,点击操作列下的“查看报告”图标,即可查看对应样本的沙箱分析报告。

3.3 沙箱分析报告

沙箱分析报告主要由综合评价、静态分析项目和动态分析项目三大类内容组成,以下进行详细介绍。

3.3.1 综合评价

报告顶部是综合评价信息,可以直观地看到分析样本所使用的环境信息,多维分析结果总结的样本特征标签,以及样本的风险等级。如图6所示,该样本的分析环境为Windows 10 x86-64,风险等级为危险,具有木马、设置自启动、写入脚本文件、执行命令等特征标签。

图 6 综合评价

3.3.2 静态分析

静态分析部分使用多种不同类型的静态检测工具对样本、样本内嵌物、样本衍生物等对象进行分析。在本案例中,云查杀项使用杀毒引擎检测样本文件本身为黑样本,威胁情报项对样本及其释放的衍生物进行分析后,判定其为恶意文件,如图7所示。

图 7 静态分析结果

3.3.3 动态分析

动态分析部分包括动态分析过程中采集的各种信息和分析结果,具体如下:
1) 动态行为类目
动态行为类目中详细列举了样本在沙箱中运行时产生的所有行为及参数。针对本案例,样本运行后需要借助用户的点击行为才能触发真正的恶意文件执行,天穹沙箱内置的智能交互模块,可精确模拟人工交互时的附件点击行为,进而触发文档内嵌update.bat文件执行。
如图8所示,OneNote应用打开样本后,将内嵌update.bat文件临时释放到了C:\Users\win10user\AppData\Local\Temp\OneNote\15.0\NT\0\update.bat.exe文件中,并利用智能交互模块的模拟点击行为启动update.bat文件。update.bat程序启动后,读取自身的数据并在内存中完成解密操作,解密后的程序类型为dll,之后程序使用System.Reflection.Assembly进行反射加载该dll。

图 8 动态行为类目

2) 进程信息
进程信息部分是以树状图的形式展示了样本各个进程间的调用关系,如图9所示。
OneNote应用打开样本后,通过命令行:C:\Windows\system32\cmd.exe /c “”C:\Users\win10user\AppData\Local\Temp\OneNote\15.0\NT\0\update.bat”创建了进程cmd.exe(PID:3224)。
cmd.exe(PID:3224)进程解析其执行参数”C:\Users\win10user\AppData\Local\Temp\OneNote\15.0\NT\0\update.bat”后执行update.bat文件,最终创建子进程update.bat.exe(PID:3268)。
由update.bat.exe进程参数可见,update.bat.exe进程在解密自身代码后,调用System.Reflection.Assembly反射加载解密内容并执行恶意代码。

图 9 进程信息

3) 行为逻辑关系图
与树状图示的进程信息相比,行为逻辑关系图更全面地展示了动态分析过程中样本与进程、文件、网络之间的关联关系。如图10所示。

图 10 行为逻辑关系图

4) 运行过程截图
在运行过程截图部分,我们可以看到样本在沙箱中运行的大致过程。如图11所示,OneNote应用打开样本文件后,智能交互模块检测到页面存在按钮窗体,执行模拟点击行为触发内嵌文件执行。

图 11 运行过程截图

5) 攻击矩阵
攻击矩阵部分展示了样本动态行为与Mitre ATT&CK Matrix攻击矩阵的映射关系,我们可以从更高层、更抽象的TTP视角了解样本的攻击手法和策略。如图12所示。

图 12 攻击矩阵

6) 分析衍生物
天穹沙箱提供强大的衍生物提取和分析功能,可以捕获样本动态运行过程中释放和修改的文件信息,并通过杀毒引擎检测和内容相似性分析,为衍生物打上自我复制、疑似变种等标签。如图13所示,本案例中,捕获到的衍生物包含OneNote应用本身的临时文件和恶意软件(update.bat)等文件。

图 13 分析衍生物

天穹沙箱除支持捕获文件衍生物外,也支持提取进程内存镜像。点击分析衍生物右侧中的“中间文件下载”可将沙箱捕获到的所有衍生物信息下载到本地,查看文件可发现,沙箱将样本调用反射加载地址处的内存信息也提取到了文件中,其文件名称中的地址与动态行为中的反射加载对象地址一致。如图14、15所示。

图 14 反射加载内存对象

图 15 提取进程内存镜像

四、人工分析样本

使用OneNote应用打开该样本文件,如图16所示,文件页面是一个按钮图标,提示用户点击按钮打开来自云的附件。

图 16 样本文件打开界面

用户将鼠标指针悬停在按钮上,会弹出悬浮对话框提示注意文档中嵌入的update.bat文件,如图17所示。

图 17 鼠标悬停提示

将按钮图标移开后,可见其下隐藏了4个update.bat文件,如图18所示。

图 18 图片下隐藏文件

当用户不知道所操作的文件中包含内嵌文件,点击查看文件时,OneNote应用会弹出警告框,如图19所示,如果用户点击“确认”按钮,按钮图标下隐藏的update.bat文件就会被OneNote执行起来。

图 19 点击触发内嵌文件执行

五、IOC

1
2
000aa2353c74b13057a73acba92fadec
350ad25e3bd312052f07ceb70a2524b6

六、总结

在本案例中,我们可以看到天穹沙箱具备one文档内嵌附件分析、反射加载检测、内存ShellCode提取等特色分析能力,上述内容也展示了如何利用这些分析能力检测、鉴别恶意样本。天穹沙箱可以对样本进行全面、高效、深入的全自动分析,分析内容涵盖了样本的静态信息、动态行为和网络活动等,能够帮助用户快速鉴定可疑样本。天穹沙箱的更多功能,期待你的探索!

七、技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。


天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com
天穹沙箱使用指南