【红雨滴云沙箱】实战攻防演习相关样本合集

随着实战攻防演练的开展，奇安信威胁情报中心基于红雨滴云沙箱部署的实战攻防演习攻击狩猎流程已经开始自动化捕获相关的样本。在接下来的实战攻防演习期间，红雨滴云沙箱将通过日报的形式在内部公开我们每日捕获并关联到的所有与实战攻防演习相关的样本（文末提供部分IOC）。这类样本可能是恶意，也可能是非恶意，但这些样本都会被投入红雨滴云沙箱进行分析以辅助研判，最终通过红雨滴云沙箱报告以辅助分析人员进行研判。通过第3节表中的沙箱链接即可点击查看感兴趣的实战攻防演习相关样本，有任何沙箱分析问题可以通过红雨滴云沙箱-人工分析服务进行反馈。

实战攻防演习前两日，狩猎流程便捕获多个攻防演练相关样本。此次捕获的部分样本采取了邮件带加密附件的方式以绕过检测。同时诱饵主要以简历、当前热点事件、工具为主题进行伪装诱导。例如：“清明放假通知.zip”、” 五一劳动节职工福利名单”、” 终端安全自检工具.exe”、” 长江环保生态系统-胡琳琳-个人简历.exe”、 “疫苗接种申请表.exe”、“总部一般员工职级晋升推荐表-王琼.docx.exe”、“公安部2021护网攻防演练漏洞自查工具2.0.exe”、“中央结算公司2021年度博士后招聘报名表.xlsx.exe”、“自查工具.exe”等。且基本都是通过自写、或者开源的Loader加载Cobalt Strike生成的ShellCode。

而除了此类恶意样本外，我们也捕获多个正常的实战攻防演习相关文件：例如“泛微OA9前台无限制getshell(1).docx”、“默安蜜罐管理平台未授权问.docx”等。这也反应了经过多次攻防演习后，大家安全意识普遍提升，在获取所谓0day相关细节文档后，第一时间会通过沙箱等途径判别文件是否恶意。同时，红雨滴团队提醒相关实战攻防演习人员，在获取相关样本时，为防止信息泄露，尽量选择通过红雨滴云沙箱（https://sandbox.ti.qianxin.com/）进行文件甄别。

本次发现的一例以” 五一劳动节职工福利名单”为诱饵的压缩包文件，通通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page） 使用沙箱进行辅助分析。

红雨滴高对抗沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴高对抗沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息，包括hash,文件类型，文件大小等，可见文件信誉已给该文件打上恶意的标签，同时RAS检测到压缩包里包括64位，32位PE文件，且包含带签名的PE文件，看到这里，有经验的分析人员可能已会快速猜测样本可能是白利用相关。

通过点击右侧导航栏的深度解析功能，再查看流信息可以发现：压缩包中共包含三个文件：五一劳动节职工福利名单.exe、name2.jpg和name.jpg，可以看到name.jpg是PEEXE文件，name2.jpg是PEDLL类型文件。

这样，通过红雨滴高对抗沙箱集成的文件深度解析能力，我们通过沙箱报告很轻松的就可以发现暗藏于压缩包文件中的恶意样本。分析人员完全不需要对分析文件进行本地化操作，即可轻松发现暗藏的恶意代码，非常的方便快捷。

继续根据行为异常可观察到五一劳动节职工福利名单.exe运行后将在c:windowstapi创建yexternal.exe和crashreport.dll。这也进一步印证了之前猜测样本是具有白利用利用方式。

通过查看红雨滴云沙箱网络行为，可以看到样本连接了1.180.204.161:80。

经过沙箱辅助分析，解读分析报告后，我们已经对该样本的整体行为有了清晰的了解。解压缩包中的五一劳动节职工福利名单.exe运行后，会将name.jpg复制到c:windowstapi命名为yexternal.exe，将name2.jpg复制到c:windowstapi命名为crashreport.dll。之后yexternal.exe将加载同目录下的crashreport.dll执行，并链接远程服务器1.180.204.161:80。

五一劳动节职工福利名单.exe是golang编写的部署工具，运行后将name.jpg复制到c:windowstapi命名为yexternal.exe，将name2.jpg复制到c:windowstapi命名为crashreport.dll。

name.jpg是带有正规签名的正常文件。

运行后会加载crashreport.dll并调用其导出函数InitBugReport。

crashreport.dll（name2.jpg）被加载执行后，将通过异或的方式解密硬编码的数据，并跳到到解密后的shellcode。

之后与1.180.204.161:80通信。

样本“自查工具.exe”是在多日前出现的攻防演习样本，不过我们通过其沙箱网络行为，再利用红雨滴云沙箱的高级搜索功能发现了多个同源样本，甚至包括攻击者制作的钓鱼邮件，我们以此为例来演示如何利用红雨滴云沙箱的高级搜索来关联同源样本。

本次发现的一例以“自查工具.zip”为诱饵的压缩包文件，我们继续通过访问红雨滴云沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page） 使用沙箱进行辅助分析

红雨滴云沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定，所以基本上以默认方式提交检测即可。点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

上传分析完成后，通过概要信息可看到该样本的基本信息：包括hash,文件类型、文件大小等。可见文件信誉已给该文件打上恶意且具有Cobalt的标签，同时RAS检测到压缩包里包括64位PE文件。根据文件信誉与RAS检测信息，便可以快速得出样本的大致功能结论：压缩包中是64位可执行文件，该可执行文件是Cobalt Strike相关恶意程序。

通过查看红雨滴云沙箱威胁情报选项，可见网络行为139.155.53.253已有攻防演习、CobaltStrike相关标签。

通过概要信息与威胁情报信息我们已可以对该样本得出定性结论：该样本属于攻防演练样本，疑似是Cobalt Strike相关利用程序，网络链接IP为139.155.53.253。

得到相关信息后，我们尝试利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能（红雨滴云沙箱高级搜索也提供了相同的功能入口）。在云沙箱报告的多个元素中都提供了TI及关联查询的功能。比如，在沙箱报告会话信息给出的IP地址的右侧，便有TI查询和关联查询两种查询功能按钮。

通过会话信息右侧的对角圆圈图标点击关联具有相同C2的样本列表

也可以在沙箱首页的高级搜索中选择IP进行关联搜索，点击首页中的搜索选项卡中的高级搜索按钮：

再选择动态行为IP，填入C2地址：139.155.53.253，进行搜索关联。

通过对样本网络行为IP关联便可查找出多个同源的实战攻防演习样本：

同时我们也发现了疑似攻击者发送的钓鱼邮件样本：

我们可以继续使用威胁情报中心红雨滴团队开发的恶意邮件分析平台对相关邮件样本进行安全的可视化分析，对应的邮件样本分析链接如下：

https://ares.ti.qianxin.com/ares/tools/maildetails/94377d6444ae820e92a5318a4b4da28debc26c84

通过红雨滴恶意邮件分析平台可以安全的可视化分析邮件的基础信息、内容等，通过该平台我们可以看到原始的恶意邮件发件人、收件人、内容等直观的关键信息。

而点击邮件检测详情，也可以看到分析平台对整个邮件的安全检测结果：邮件头安全性、内置URL的安全性、附件安全性等：

也可以主动选择相关附件投递红雨滴云沙箱查看附件的沙箱动态结果：

自查工具.exe是VC++编写的部署工具，运行后释放加载器到"C:\Users\public\documents\Diagnose.exe"并运行，而Diagnose.exe会最终加载beacon来诱导受害者使用管理员权限运行恶意程序。

解密资源文件并落地文件然后执行，并弹出框后结束程序。

读取资源文件并格式化：

使用EnumSystemLocalesA运行解密后的uuid形式的shellcode。

该Shellcode则是是beacon并且最终会访问：hxxps://139.155.53.253/bootstrap.min.css

0846ed39148294288194231f0c50a5ef

23aaa6e9c289f61737e12671c70a098a

7021ce33f827da667a3ac93a482f1b91

d14bea443b0f9eb415bea2f59eec2999

d9aa6e0f291564ba9fad8543a0be5097

2d08153f242cb6d0873c0b1a6fe751bf

a48951e8d007f1650b550564561d3a87

d4ad0cf3a45929ad308a960c876da56d

2752ebe367014ca2506e55fc3c0a27fd

13dee6e2944d670cd81858e119f7d530

b14a0fa05ae4275455299bebad462bae

0dd49d187a9364a553af53d5516a8542

9e2840d59622093390b1fbf748573b6d

d2c926a4f824d6e838ce988a1cd8e808

1718f6fa742e78ca55e13e547f743088

c54eb668cf76a37bf28f95c173770adf

fc246d485f3551b91431bc5a3fc5af99

1ae9b90a9294f1c09e832f9aec74d8fe

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴云沙箱早在一年多以前便是奇安信所有产品中唯一被业内权威威胁分析厂商VirusTotal所集成的威胁分析类产品：

https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

红雨滴云沙箱已集成VirusTotal

并且，红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告。

VirusTotal样本动态分析结果中集成的

红雨滴云沙箱分析结果