一、概述

近日,天穹沙箱在护网期间捕获到一份套路颇深的钓鱼邮件,该邮件的伪装名为:”【外部邮件】关于开展 2023 年第三季度全面保密检查的通知 各部门: 根据国家保密相关法律法规和标准要求及公司 《保密监督检查管理办法》等保密… (1.18 MB)“,其在邮件正文中发布了有关使用保密检查工具自查的通知,并在附件中附带了一份保密检查工具.zip的压缩包,一旦用户解压并运行所谓的保密检查工具,其中隐藏的CobaltStrike Beacon将立即执行,实现了钓鱼上线的目的。
此类钓鱼邮件在护网期间数目众多,隐藏性极强,极易诱导非专业人员中招。然而,天穹沙箱具备深度检测功能,可以对邮件、压缩包、可执行文件等进行全面分析,无论是否是专业人员,使用天穹沙箱都能轻松上手,洞悉这些钓鱼邮件的套路。

二、样本基本信息

样本的基本信息如下:

  • SHA1:139e5162ce58aa246f138727442ed93b85e04bb9
  • 文件名:【外部邮件】关于开展 2023 年第三季度全面保密检查的通知 各部门: 根据国家保密相关法律法规和标准要求及公司 《保密监督检查管理办法》等保密… (1.18 MB).msg
  • 文件类型:msg
  • 内嵌附件家族:CobaltStrike
  • 文件大小:1.23 MB

三、分析报告

1. 环境选择

天穹沙箱开箱即用,无需繁琐设置,如图1所示,只需将可疑样本拖入投递窗口上传即可,沙箱会自动选择最合适的环境分析。

样本投递

图1 样本投递

2. 邮件静态分析

打开报告,首先可看到天穹沙箱对邮件和其附件进行了静态检测,如图2和图3所示,可看到该样本的邮件头信息和内容预览,这样用户无需打开邮件即可了解发件人、收件人、邮件正文等信息,避免了危险操作。

图2 邮件头信息
图3 邮件预览

针对特殊复合格式样本,天穹沙箱基于智能化分析技术,可自动对邮件中的URL、正文、附件等内容进行深度分析。如图4 所示,沙箱自动提取附件压缩包并解压分析。

图4 附件智能分析

同时沙箱也对压缩包附件进行了检测,如图5所示,可以发现该压缩包尝试在**_MACOSX**目录隐藏了一个PE文件,_MACOSX目录是MacOS系统自动生成的隐藏目录,正因如此,该目录经常被攻击者用来隐藏恶意文件。

图5 压缩包检测

3. 综合评价

如图6所示,邮件附件解压的 保密检查工具.exe 文件使用了天穹沙箱的Windows 7 64位 分析环境,经过多维度检测引擎鉴定,样本被判定为恶意;通过查看标签信息,静态引擎识别样本为CobaltStrike木马,网络行为亦捕获到了CobaltStrike的HTTP通信流量。同时,天穹沙箱为用户提供了恶意样本威胁处置建议。


图6 综合评价

4. 威胁配置

如图7所示,沙箱可自动提取该样本的威胁配置信息,包括样本的家族、通信协议、C2、请求头、秘钥等重要信息,极大简化了分析人员的工作。

图7 威胁配置信息

5. 动态行为

结合动态分析类目具体分析该样本,如图8所示,从行为来看,样本是通过创建notepad子进程,随后注入Shellcode,并通过APC触发执行。

10动态行为类目

图8 动态行为类目

6. 流量检测

最后让我们看一看样本的流量信息,如图9和图10所示,在网络流量威胁检测中可看到沙箱利用IDS规则检测到CobaltStrike HTTP通信流量特征,同时在联网活动追踪中可看到请求主机、请求方式和响应报文:

7网络流量威胁检测

图9 网络流量威胁检测

8联网活动追踪

图10 联网活动追踪

7. 人工分析

通过人工分析,我们观察到样本调用了CreateProcessW接口创建notepad子进程,此时栈上已能看到64位Beacon-RAW的特征(MZARUH):

11创建notepad子进程

图11 创建notepad子进程

12Beacon特征

图12 Beacon特征

接着调用QueueUserAPC触发并执行Beacon:

13执行Beacon

图13 APC执行Beacon

借助Wireshark工具,可更加直观的看到通信流量,其中Beacon发起了上线请求,并通过Cookie携带使用公钥加密后的靶机信息,而C2也进行了回应,但在沙箱运行阶段没有下发任何攻击指令,因此没有触发进一步的攻击行为。

9Wireshark流量分析

图14 Wireshark流量分析

四、IOC

1
2
http[:]//8.140.50.236[:]8080/j.ad
139e5162ce58aa246f138727442ed93b85e04bb9

参考案例链接

样本分析报告(内部访问)

五、 技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。

天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com