攻防对抗分析利器-云沙箱恶意配置提取

在攻防对抗过程中，会碰到很多主流的渗透测试、商业远控、间谍窃密工具。这些工具可以通过“相关配置（比如回连地址、端口、接收邮箱等）”生成对应的攻击武器。从这些配置中就能够快速掌握攻击者回传地址等重要信息。

为了能让防御者快速、精准识别这类样本的配置信息，在攻防对抗过程中加速处置流程，安恒云沙箱投入技术力量上线了恶意软件配置提取功能，通过对样本静态和动态数据进行解析，在合适的运行时机提取恶意配置信息，为应急响应、分析研判、溯源等工作节省出充足的时间。

0x00 what？（何为恶意配置）

攻击者在使用生成恶意软件的工具时，需要定义一些决定恶意软件如何运行的选项，这些可定义的选项的集合称为恶意软件配置。

如图为Brute Ratel Payload的配置管理

0x01 which？（恶意配置包括哪些）

不同家族的恶意软件根据需求有不同的恶意配置信息，常见的如下：

• 使用的通信协议

• 回连C2服务器ip或域名

• 回连C2服务器端口

• http头相关字段

• 恶意软件版本

• 加密、解密秘钥信息

• 休眠时间等

0x02 where？（恶意配置如何存储）

不同的恶意软件配置信息存储方式各不相同，例如：

• 静态有规律的数据直接保存在样本中

• 动态解密后访问

• 访问专门存储配置数据的文件

• 直接与恶意代码融为一体，运行过程中即时访问

安恒云沙箱结合样本的静态和动态特征，在所有合适的时机抓取恶意配置数据，并提取其中恶意配置信息，助力使用者快速分析研判。

案例一：与渗透测试神器CobaltStrike对抗

CobaltStrike是最常见的远程控制类工具之一，具备丰富的功能，因其专业能力强、高度自由可定制、数据传输隐蔽性好，渗透测试工作者使用它进行模拟网络间谍活动，同时也被不少APT组织和网络犯罪团伙所使用。

多种Beacon：

CobaltStrike支持多种监听模式、多种Beacon（信标），如Beacon DNS、Beacon HTTPS、Beacon SMB、Beacon TCP等。通过模式配置，可以形成一定的隐蔽信道传输能力，干扰检测。

如DNS Beacon 通过DNS请求将数据返回给攻击者，由于大部分防火墙和入侵检测设备很少会过滤DNS流量，使得通过DNS隧道建立的通信能够轻松绕过传统安全产品，不易被检测。安恒云沙箱能够对其配置成功提取，助力检测。

Malleable C2 Profiles:

Cobalt Strike使用者可以通过自定义Malleable C2配置文件，定制更为详细的配置，通过该功能能够隐藏Cobalt Strike Beacon的明显特征，使其更难以被检测。

如修改全局选项中的睡眠时间、jitter和用户代理字段隐藏默认生成的CobaltStrike的特征。

如可以将本地选项中的http-get头、http-post头的Host、Referer字段修改为www.microsoft.com，伪装成系统发出的网络请求。

从网络流量包中查看很容易认为是对微软域名的正常访问。

安恒云沙箱同样能够有效应对这类Beacon，轻松将被修改的配置文件信息提取出来。如下所示，表面上http请求访问的看似microsoft.com相关的域名，实际上的C2Server却是192.168.220.133。

案例二：被APT29恶意利用的Brute Ratel

Brute Ratel是一款先进的面向渗透测试的命令与控制工具，除了拥有传统远控工具功能外，还专门设计了用于逃避端点检测与响应（EDR）与防病毒（AV）检测的功能，如检测 EDR 用户态挂钩的内置调试器、针对EDR和AV的内存隐藏技术等。已经出现一些APT组织和勒索组织使用该渗透工具，包括APT29。

安恒云沙箱已可识别BruteRatel工具，并成功提取关键配置信息。

案例三：NPM包的供应链“投毒”事件

今年2月，开源存储库中出现了一个名为“Aabquerys”的恶意NPM包，安装该包将从指定URL下载托管的远控木马，在安恒云沙箱中进行检测，可识别出该样本为开源远控工具Havoc。

Havoc是一款由@C5pider创建的现代化且可扩展的后渗透命令与控制框架，服务端由Go语言实现。用于渗透测试人员模拟攻击。支持信息收集、命令执行、文件上传与下载、socket代理和自我销毁等功能。目前，Havoc能通过开源存储库Github访问。

安恒云沙箱针对Havoc提取出的配置信息如下：

案例四：冒充杀毒软件的Covenant

安恒信息猎影实验室在日常监测中发现一个冒充Kaspersky杀毒软件的样本，样本的图标和详细信息中都被替换为Kaspersky相关内容。为了快速确定该样本是何种家族工具，我们将样本上传至安恒云沙箱，经沙箱分析确定该样本为开源远控工具Covenant的GruntHTTP后门。

Covenant 是一个基于.NET的命令和控制框架，框架采用多种可自定义的“Grunt”载荷，允许攻击者基于多种方式加载，支持命令执行、文件管理、截屏、键盘记录等多种功能。

通过安恒云沙箱分析，可以在恶意配置中直接查看Covenant家族样本的配置信息：

案例五：间谍软件AgentTesla

AgentTesla是一款老牌窃密间谍软件，源于2014年初始的键盘记录产品，目前演变成一款功能丰富的窃密软件，包括能够对浏览器、邮箱、FTP、通讯工具等进行信息获取，并将窃密信息回传给服务器。

该间谍软件活跃度一直很高，黑灰产组织常使用群发钓鱼邮件的形式对目标进行大量投递。常使用“发票”、“银行对账单”、“付款证明”、“快递运输单”等主题迷惑目标，尤其是跨境贸易、制造业、运输业等为其重点攻击对象。我们在《揭秘！大额跨境贸易诈骗中间人攻击》中也进行了相关介绍。

AgentTesla可以配置数据回传模式，可以通过SMTP、FTP、HTTP等形式将数据传输给服务器。

由于SMTP、FTP直接能够获得账户密码，可登陆查看，会发现窃取的信息和失陷主机情况。

安恒云沙箱（https://sandbox.dbappsecurity.com.cn）不仅拥有出色的动静态检测能力，还能通过关联威胁情报、检查漏洞利用、关键行为解析、AI模型分析等不同维度解析样本，尽可能将一个完整、清晰、准确的报告展现给广大用户，提供专业可靠的服务。

当发生紧急事件或安全事件时，就意味着一场与时间赛跑的攻防对抗战开始了。若获取到可疑的活动样本，建议上传至安恒云沙箱进行检测，在几分钟之内快速确定样本家族、回连地址和载荷功能，并对此作出及时的处理，将有效减少攻击事件对组织的影响和损失。

安恒云沙箱反馈与合作请联系：[email protected]