一、概述

近日,天穹沙箱团队捕获了一个名为“查找.exe”的样本,经过初步分析,因其采用了阿里云CDN分发流量,恰逢国内HVV行动期间,很容易被误判为典型的HVV攻击样本。然而,经过深度剖析,我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马,专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。

二、样本基本信息

该样本的基本信息如下:

  • SHA1:1975b7ada9cd3d7b3bc2a7e19caa3e5c0d878216
  • 文件名:查找.exe
  • 文件类型:EXE
  • 投递组织:银狐
  • 文件大小:13.24 MB

三、样本分析

样本展现了一套复杂且高度协同的攻击策略,从最初的检测规避到最终的目标渗透,每个环节都体现了攻击者精心布局的企图。其攻击流程覆盖了规避检测、权限提升、网络通信、释放PE文件、侧加载、持久化等多个方面,从而形成了一套全面的攻击体系。接下来,我将从不同的技术视角来阐述沙箱对该样本分析后的检测结果。

1、规避检测

1.1、代码覆写

样本为了能够隐蔽地执行恶意行为,对以下模块进行了覆写,其目的是阻止应用层的Hook检测:

  • NtTraceEvent模块代码块: NtTraceEvent是Windows内核中的一个函数,用于记录事件跟踪信息。覆写此模块意在阻止对其行为的跟踪,以逃避检测。
  • AmsiScanBuffer模块代码块: AmsiScanBuffer是Windows Defender的一个接口,用于扫描内存中的数据以检测潜在的恶意软件。覆写此接口意在绕过Windows Defender的检测,使样本在系统中运行而不被发现。
  • C:\Windows\SYSTEM32\amsi.dll模块代码块: amsi.dll是Windows Defender的一个组件,覆写此模块代码意在阻止Windows Defender对其行为的检测和分析。
  • NtProtectVirtualMemory模块代码块: NtProtectVirtualMemory是Windows内核中的一个函数,用于改变内存区域的保护属性。覆写此模块可能意在改变内存保护属性,以执行一些通常被阻止的操作,如在只读或执行保护的内存区域中写入代码。

这些行为在报告中有具体的体现:

image-20240717112843621

图1 代码覆写

1.2、天堂之门

样本使用了天堂之门技术,该技术是一种在32位WoW64进程中执行64位代码,以及直接调用64位WIN32 API函数的技术,主要用于绕过沙箱对WIN32 API的调用检测,不过此技术早已能被天穹沙箱准确检测:

image-20240717151532957

图2 天堂之门

1.3、窗体检测

样本在运行过程中会检测360系列安全软件的窗口,这是银狐样本的典型特征,即检测到360相关进程则立刻退出:

image-20240717152226698

图3 检测360

1.4、排除Windows Defender扫描路径

样本通过Powershell命令排除了特定目录,这里我们可以借助TQ-GPT沙箱智能助理为我们解答命令行的作用:

image-20240717173204319

图4 排除WDF扫描目录

2、权限提升

2.1、滥用RPC函数

样本通过滥用RPC函数RAiLaunchAdminProcess 实现提权至管理员,从进程树来看,样本对自身提权,创建进程为"xxx/查找.exe" testing

image-20240717155712430

图5 RPC提权

2.2、关闭UAC弹窗

样本通过修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin值为0改变UAC的行为,修改后UAC将不会显示警告对话框给管理员用户,即使程序尝试进行需要管理员权限的操作,可让程序在没有用户交互的情况下提升权限:

image-20240717161125385

图6 修改UAC警告

3、网络通信

3.1、阿里云CDN

样本与阿里云CDN存在频繁的网络通信,由于会话较多,我们让TQ-GPT沙箱智能助理帮助我们自动总结与阿里云CDN的HTTP会话:

image-20240717162644032
图7 TQGPT总结阿里云HTTP会话

可以发现样本下载了以下文件:

  • f.dat
  • FOM-50.jpg
  • FOM-51.jpg
  • FOM-52.jpg
  • FOM-53.jpg

分析发现,这些图片的分辨率仅为75×55像素,且均为蓝底纯色照片,大小却都在1MB以上,这明显是插入了大量其他数据,以FOM-51.jpg为例,该图片插入了4816428字节未知数据,

image-20240717164246535

图8 图片尾部填充无效数据

考虑到样本后续释放了a5fDlX.exeSbieDll.dll两个文件,推测这里下载五个文件是用来解密并拼接为可执行文件。

3.2、C2通信

样本与squxkw[.]net建立TCP通信,经过内部情报分析,该域名与银狐组织存在关联:

image-20240717170130349

图9 IOC信息

样本向该地址发送了上线报文,但没有收到响应报文:

image-20240717171350369

图10 C2上线报文

4、释放PE文件

查找.exe释放以下PE文件:

  • a5fDlX.exe:释放路径为C:\Users\Public\Videos\a5fDlX\a5fDlX.exe
  • SbieDll.dll:释放路径为C:\Users\Public\Videos\a5fDlX\SbieDll.dll

a5fDlX.exe释放以下PE文件,本质是将自身和SbieDll.dll拷贝到其他目录:

  • dPmfGuR.exe:释放路径为C:\Users\Public\Videos\3C669\dPmfGuR.exe,文件MD5与a5fDlX.exe相同,即创建拷贝
  • SbieDll.dll:释放路径C:\Users\Public\Videos\3C669\SbieDll.dll,文件MD5与SbieDll.dll相同,即创建拷贝

5、侧加载

查找.exe释放的a5fDlX.exe会加载SbieDll.dll,经分析发现,a5fDlX.exeSandboxie组件,本身为白样本,其弹窗也验证这一点:

image-20240717174436920

图11 Sandboxie组件缺失弹窗

但其加载的SbieDll.dll是没有签名的黑样本,这是一个典型的侧加载行为:

image-20240717175052912

图12 侧加载检测

6、持久化

6.1、写入计划任务

样本写入了系统计划任务文件 c:\Windows\System32\Tasks\Data Stay Intelligent Prioritization Scheduling,这可通过计划任务机制在系统重启后自动运行:

image-20240717175618061

图13 计划任务

6.2、设置系统服务

样本设置注册表HKEY_CURRENT_USER\S-1-5-21-680952441-3638152375-4209678667-1001\System\CurrentControlSet\Services\Sauron\Groupfenzhu,将 Groupfenzhu 设置为系统服务,可确保在系统重启后自动运行:

image-20240717180120009

图14 修改注册表

该行为在之前的一篇银狐样本分析报告中也有体现,这是银狐惯用手段:

image-20240717180608032

图15 修改注册表

截至发稿时,我们发现一些友商沙箱对该类样本还无法正常检出,仍将该样本判定为安全,请大家小心防范这类样本。

四、IOC

恶意文件(SHA1)

1
2
3
4
5
6
7
8
1975B7ADA9CD3D7B3BC2A7E19CAA3E5C0D878216      查找.exe
9E9B1F74567B9EBA2112D5053CEB8BA2B4452BFB a5fDlX.exe, dPmfGuR.exe
E063BE995D7E3FA893D17CA44684E5438A077AB5 SbieDll.dll
7590BFE515DFFA2311050646B5DF7ECF1EDD67F4 f.dat
B16AA9247826304509614E378F4120BF2B5F2394 FOM-50.jpg
E5C82A7B371DA1F596A5055FFD8339E820DDB2FB FOM-51.jpg
E1AA5737CA611C0628802A84C7A075B722DC9AE6 FOM-52.jpg
7FAD6D60728398F529ED543B0B4A36C43B3E3333 FOM-53.jpg

恶意链接

1
2
3
4
5
6
7
https[:]//omss.oss-cn-hangzhou.aliyuncs.com/f.dat          f.data下载链接
https[:]//omss.oss-cn-hangzhou.aliyuncs.com/FOM-50.jpg FOM-50.jpg下载链接
https[:]//omss.oss-cn-hangzhou.aliyuncs.com/FOM-51.jpg FOM-51.jpg下载链接
https[:]//omss.oss-cn-hangzhou.aliyuncs.com/FOM-52.jpg FOM-52.jpg下载链接
https[:]//omss.oss-cn-hangzhou.aliyuncs.com/FOM-53.jpg FOM-53.jpg下载链接
squxkw[.]net 样本C2地址(域名)
143.92.56.179[:]8800 样本C2地址(解析IP)

沙箱分析报告

天穹沙箱-样本分析报告(公网访问)

注意:如需使用TQ-GPT沙箱智能助理,请先登录天穹动态分析沙箱

五、 技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。


天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com