攻防对抗分析利器-云沙箱恶意配置提取

admin 2023年8月12日20:07:40评论43 views字数 2754阅读9分10秒阅读模式
攻防对抗分析利器-云沙箱恶意配置提取

01

背景

在攻防对抗过程中,会碰到很多主流的渗透测试、商业远控、间谍窃密工具。这些工具可以通过“相关配置(比如回连地址、端口、接收邮箱等)”生成对应的攻击武器。从这些配置中就能够快速掌握攻击者回传地址等重要信息。


为了能让防御者快速、精准识别这类样本的配置信息,在攻防对抗过程中加速处置流程,安恒云沙箱投入技术力量上线了恶意软件配置提取功能,通过对样本静态和动态数据进行解析,在合适的运行时机提取恶意配置信息,为应急响应、分析研判、溯源等工作节省出充足的时间。

02

恶意配置

0x00 what?(何为恶意配置)

攻击者在使用生成恶意软件的工具时,需要定义一些决定恶意软件如何运行的选项,这些可定义的选项的集合称为恶意软件配置。

攻防对抗分析利器-云沙箱恶意配置提取

如图为Brute Ratel Payload的配置管理

0x01 which?(恶意配置包括哪些)

不同家族的恶意软件根据需求有不同的恶意配置信息,常见的如下:

  • 使用的通信协议

  • 回连C2服务器ip或域名

  • 回连C2服务器端口

  • http头相关字段

  • 恶意软件版本

  • 加密、解密秘钥信息

  • 休眠时间等

0x02 where?(恶意配置如何存储)

不同的恶意软件配置信息存储方式各不相同,例如:

  • 静态有规律的数据直接保存在样本中

  • 动态解密后访问

  • 访问专门存储配置数据的文件

  • 直接与恶意代码融为一体,运行过程中即时访问

安恒云沙箱结合样本的静态和动态特征,在所有合适的时机抓取恶意配置数据,并提取其中恶意配置信息,助力使用者快速分析研判。

03

典型案例

案例一:与渗透测试神器CobaltStrike对抗

CobaltStrike是最常见的远程控制类工具之一,具备丰富的功能,因其专业能力强、高度自由可定制、数据传输隐蔽性好,渗透测试工作者使用它进行模拟网络间谍活动,同时也被不少APT组织和网络犯罪团伙所使用。

多种Beacon:

CobaltStrike支持多种监听模式、多种Beacon(信标),如Beacon DNS、Beacon HTTPS、Beacon SMB、Beacon TCP等。通过模式配置,可以形成一定的隐蔽信道传输能力,干扰检测。

攻防对抗分析利器-云沙箱恶意配置提取

如DNS Beacon 通过DNS请求将数据返回给攻击者,由于大部分防火墙和入侵检测设备很少会过滤DNS流量,使得通过DNS隧道建立的通信能够轻松绕过传统安全产品,不易被检测。安恒云沙箱能够对其配置成功提取,助力检测。

攻防对抗分析利器-云沙箱恶意配置提取

Malleable C2 Profiles:

Cobalt Strike使用者可以通过自定义Malleable C2配置文件,定制更为详细的配置,通过该功能能够隐藏Cobalt Strike Beacon的明显特征,使其更难以被检测。


如修改全局选项中的睡眠时间、jitter和用户代理字段隐藏默认生成的CobaltStrike的特征。


如可以将本地选项中的http-get头、http-post头的Host、Referer字段修改为www.microsoft.com,伪装成系统发出的网络请求。

攻防对抗分析利器-云沙箱恶意配置提取

从网络流量包中查看很容易认为是对微软域名的正常访问。

攻防对抗分析利器-云沙箱恶意配置提取

安恒云沙箱同样能够有效应对这类Beacon,轻松将被修改的配置文件信息提取出来。如下所示,表面上http请求访问的看似microsoft.com相关的域名,实际上的C2Server却是192.168.220.133。


攻防对抗分析利器-云沙箱恶意配置提取


案例二:被APT29恶意利用的Brute Ratel

攻防对抗分析利器-云沙箱恶意配置提取

Brute Ratel是一款先进的面向渗透测试的命令与控制工具,除了拥有传统远控工具功能外,还专门设计了用于逃避端点检测与响应(EDR)与防病毒(AV)检测的功能,如检测 EDR 用户态挂钩的内置调试器、针对EDR和AV的内存隐藏技术等。已经出现一些APT组织和勒索组织使用该渗透工具,包括APT29。


安恒云沙箱已可识别BruteRatel工具,并成功提取关键配置信息。

攻防对抗分析利器-云沙箱恶意配置提取

案例三:NPM包的供应链“投毒”事件

今年2月,开源存储库中出现了一个名为“Aabquerys”的恶意NPM包,安装该包将从指定URL下载托管的远控木马,在安恒云沙箱中进行检测,可识别出该样本为开源远控工具Havoc。


Havoc是一款由@C5pider创建的现代化且可扩展的后渗透命令与控制框架,服务端由Go语言实现。用于渗透测试人员模拟攻击。支持信息收集、命令执行、文件上传与下载、socket代理和自我销毁等功能。目前,Havoc能通过开源存储库Github访问。


安恒云沙箱针对Havoc提取出的配置信息如下:

攻防对抗分析利器-云沙箱恶意配置提取

案例四:冒充杀毒软件的Covenant

安恒信息猎影实验室在日常监测中发现一个冒充Kaspersky杀毒软件的样本,样本的图标和详细信息中都被替换为Kaspersky相关内容。为了快速确定该样本是何种家族工具,我们将样本上传至安恒云沙箱,经沙箱分析确定该样本为开源远控工具Covenant的GruntHTTP后门。

攻防对抗分析利器-云沙箱恶意配置提取

Covenant 是一个基于.NET的命令和控制框架,框架采用多种可自定义的“Grunt”载荷,允许攻击者基于多种方式加载,支持命令执行、文件管理、截屏、键盘记录等多种功能。


通过安恒云沙箱分析,可以在恶意配置中直接查看Covenant家族样本的配置信息:

攻防对抗分析利器-云沙箱恶意配置提取

案例五:间谍软件AgentTesla

AgentTesla是一款老牌窃密间谍软件,源于2014年初始的键盘记录产品,目前演变成一款功能丰富的窃密软件,包括能够对浏览器、邮箱、FTP、通讯工具等进行信息获取,并将窃密信息回传给服务器。


该间谍软件活跃度一直很高,黑灰产组织常使用群发钓鱼邮件的形式对目标进行大量投递。常使用“发票”、“银行对账单”、“付款证明”、“快递运输单”等主题迷惑目标,尤其是跨境贸易、制造业、运输业等为其重点攻击对象。我们在《揭秘!大额跨境贸易诈骗中间人攻击》中也进行了相关介绍。


AgentTesla可以配置数据回传模式,可以通过SMTP、FTP、HTTP等形式将数据传输给服务器。

攻防对抗分析利器-云沙箱恶意配置提取

由于SMTP、FTP直接能够获得账户密码,可登陆查看,会发现窃取的信息和失陷主机情况。

04

总结

安恒云沙箱(https://sandbox.dbappsecurity.com.cn)不仅拥有出色的动静态检测能力,还能通过关联威胁情报、检查漏洞利用、关键行为解析、AI模型分析等不同维度解析样本,尽可能将一个完整、清晰、准确的报告展现给广大用户,提供专业可靠的服务。


当发生紧急事件或安全事件时,就意味着一场与时间赛跑的攻防对抗战开始了。若获取到可疑的活动样本,建议上传至安恒云沙箱进行检测,在几分钟之内快速确定样本家族、回连地址和载荷功能,并对此作出及时的处理,将有效减少攻击事件对组织的影响和损失。

攻防对抗分析利器-云沙箱恶意配置提取

安恒云沙箱反馈与合作请联系:[email protected]

攻防对抗分析利器-云沙箱恶意配置提取


原文始发于微信公众号(网络安全研究宅基地):攻防对抗分析利器-云沙箱恶意配置提取

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月12日20:07:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防对抗分析利器-云沙箱恶意配置提取https://cn-sec.com/archives/1946015.html

发表评论

匿名网友 填写信息