【天穹】沙箱上新:Windows 11 首发
/ / 点击 / 阅读耗时 10 分钟一、概述
随着Windows系统的不断升级,越来越多的用户开始迁移到新的系统。根据最新的市场占有率统计显示,Windows 11的市场份额已经超过了20%,恶意软件也会将攻击目标转向Windows 11系统。
目前,国内的一些竞品厂商尚未支持Windows 11系统,而天穹沙箱则率先上线了对Windows 11的支持,这使得天穹沙箱可以更准确地识别Windows 11的恶意软件,并丰富了沙箱的检测能力。同时,随着Windows 11环境的支持,天穹沙箱已经全面覆盖了Windows所有主流版本的系统。
二、环境信息
- 系统版本:10.0.22621.1702 (64 位)
- office2021 : Microsoft® Word LTSCMSO (版本 2208 Build 16.0.15601.20142) (64 位)
- AcroRdrDC : 2023.001.20064 (32位)
- chrome:113.0.5672.93(正式版本)(64 位)
- hangul : 2010 (32位)
三、 样本基本信息
这里以真实的样本作为Windows 11分析展示的案例,其基本信息如下:
- SHA1:9d2d8eaa9cd1068716af51852b61ceae414eddf0
- 文件名:XX设备购买清单.docx.exe
- 文件类型:exe
- 样本家族:Metasploit
- 文件大小:258.33 KB
四、样本分析步骤
通过公司内网或VPN访问天穹沙箱系统(网址:https://sandbox.qianxin-inc.cn),点击“企业域账号登录“,利用个人域账号登录系统。天穹沙箱支持多个版本的Windows统,按照如下步骤操作即可选择Windows 11环境。
- 点击“开始分析”。
- 点击“高级选项”。
- “分析系统”选择“Windows 11 x86-64”。
- 点击“确认分析”,上传待分析文件,等待分析完成,即可查看报告。
五、沙箱分析报告
1. 综合评价
如图2所示,上传文件使用了天穹沙箱的Windows 11分析环境,经过多维度检测引擎鉴定,样本被判定为恶意;通过查看标签信息,样本为被判定为后门木马,所属家族为Metasploit,根据动态行为来看,其动态行为包括内嵌可疑代码、建立网络连接等。
同时,通过威胁指标信息,用户可获取恶意样本威胁处置建议。
2. 静态分析
如图4 所示,样本尝试使用签名免杀技术。
3. 动态分析
如图5所示,在动态行为类目中,我们可以看到样本行为存在内嵌可疑代码行为;
如图6所示,在敏感字符串中,样本的内嵌可疑代码中存在与C2相似的字符串;
结合图7所示,通过威胁配置信息提取,我们可以确定这个样本的家族是Metasploit家族,同时这段内嵌可疑代码是样本执行的shellcode,跟人工分析情况中跳转执行shelllcode的行为是一致的。
六、人工分析情况
样本使用GetSystemTimeAsFileTime获取当前系统时间,通过时间戳判断,只有在特定时间段内才可以触发后续行为。如果时间戳小于等于2023-07-19 15:29:39或者大于2023-07-25 19:38:39,会提示:【代码时效过期已无法运行】、【如果继续使用请联系作者】、【https[:]//codefx.taobao.com】。
在2023-07-19 15:29:39到2023-07-25 19:38:39之间则会隐藏窗口,动态加载API,定位并解密shellcode,把shellcode注入自身并连接C2。
七、 IOC
1 | https[:]//43.143.149.49[:]985/jquery-3.3.2.slim.min.js |
参考案例链接:
八、 技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。
天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。
天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com