概述
近期奇安信威胁情报中心红雨滴团队捕获了一批使用CDN隧道进行通信的攻击样本。这种隐藏真实C2的技术在近几年使用得非常广泛,红雨滴团队将此类使用了CDN IP地址进行真实C2隐藏,并通过CDN IP进行木马隐蔽通信和数据转发的技术统一命名为CDN隧道。
防患于未然,我们以近期发现,并使用CDN隧道进行HTTPS通信的样本为例,使用红雨滴云沙箱的HTTPS解密功能分析这类样本,并探秘CDN隧道木马的基本原理。
样本信息
样本名称 | MD5 | 红雨滴云沙箱报告链接 | 备注 |
****集团运营招聘部分JD信息************OperationalRecruitmentJDInformation1.docx.exe | 357aadd93bca03bd0ba555456384b019 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYI0P7w-Cf0-QUp-1YOi | 使用CDN隧道技术通信 |
****集团运营招聘部分JD信息************OperationalRecruitmentJDInformation2.docx.exe | 155e5ac0d41d6e31787800b85e9a1782 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYIzfi1mCf0-QUp-1YGo | 使用CDN隧道技术通信 |
****集团运营招聘部分JD信息************OperationalRecruitmentJDInformation.docx.exe | 4e64064e83485084f74278395f99ea7b | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYI0qBom9kNObtGxuv_9 | 使用CDN隧道技术通信 |
样本执行后释放的诱饵内容如下,伪装为国内某电商公司的招聘信息。
CDN隧道木马分析与探秘
样本基本信息
红雨滴云沙箱报告链接 | https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYI0P7w-Cf0-QUp-1YOi&env=&time=2&sha1=ac978f8697e3e2b6d41f4aacd4058d303c8d69e3 |
样本文件名 | 1.exe_(投递时已更改名字) |
样本MD5 | 357aadd93bca03bd0ba555456384b019 |
样本类型 | PE64 Executable for MS Windows (EXE) |
样本大小 | 3142144字节 |
RAS检测结果 | neutral-lang(自然语言) |
样本基因特征 | HTTP通信 解压执行 探针 检测沙箱检测虚拟机 |
使用红雨滴云沙箱分析样本
通过访问红雨滴云沙箱入口(https://sandbox.ti.qianxin.com/sandbox/page)使用沙箱进行辅助分析
红雨滴云沙箱分析入口
在上传待分析文件后,可以手动设置沙箱分析参数:分析环境(操作系统)、分析时长等。由于红雨滴云沙箱针对各类样本已经进行了智能化判定,所以基本上以默认方式提交检测即可。点击“开始分析”按钮后,会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。
上传分析完成后,通过概要信息可看到该样本的基本信息:包括hash、文件类型、文件大小等。可见红雨滴云沙箱基于智能的恶意行为综合判断已经识别出文件可疑并给出了10分的恶意评分,通过概要信息的文件信誉检测信息可见样本已被云端打上了恶意标签。
通过点击导航栏的AV引擎检测可以看到样本免杀效果不错,大部分杀软并未报毒。
红雨滴云沙箱HTTPS解密功能分析CDN隧道
由于该样本使用了CDN隧道通信技术,在这里我们直接通过右侧导航栏点击查看网络行为选项对样本的通信过程进行分析。
1. 首先,样本通过某个能解析到和攻击者使用的“加速域名”同一个CDN服务商的域名地址进行CDN IP列表的获取,如图:样本获取到******.***china.com响应的8个CDN IP地址。
2. 第二步,样本选择了其中一个CDN IP地址与自己的C2服务器进行转发通信,具体的方法为:将HTTPS的GET请求中Host字段填充为攻击者在CDN服务商那里进行加速的域名,而这个域名可以使用某些高信任的域名,比如微软、腾讯的域名,只要这些域名未在对应CDN服务商那里注册域名加速,因为不需要进一步的DNS解析,那么这里的HOST是可以随意注册高信任的加速域名的(只要在CDN服务商处未被注册)。可以看到,红雨滴云沙箱由于对HTTPS进行了解密,可以直接观察到HTTPS通信发送的信息,这对分析人员是透明的。并且红雨滴云沙箱针对HOST与实际请求的IP地址不匹配进行了优化,这里看到的就是真实的HTTPS请求的IP + URL地址,所见即所得!
3. 最终,CDN服务商的IP:1.199.92.112接受到了攻击样本发送的HTTPS请求后,通过HOST中指定的加速域名:sso.mail.***china.com(攻击者注册的加速域名,并非真实的DNS域名),将通信数据转发至攻击者真实的C2地址上。从而完成了C2地址的隐藏。
CDN隧道通信的基本原理
通过上述样本分析,我们基本可以知道利用CDN进行C2隐藏和隧道通信的基本攻击步骤,如下:
1. 首先在某个CDN运营商处注册需要加速的域名,该域名只要在CDN运营商处未被注册域名加速即可,与该加速域名的 DNS能否正常解析和是否注册无关。
2. 通过同一个CDN运营商处注册的正常的域名来获取CDN IP列表,或者直接与已知的该运营商的CDN IP地址通信。
3. 通过往第2点中获得到的CDN IP地址发送请求数据来实现将木马通信数据通过CDN IP地址转发至攻击者真实的C2地址的目的。转发规则为:数据转发至请求数据中的HOST地址(加速域名,相当于攻击者的转发规则,加速域名转发的服务器地址由攻击者指定)在CDN运营商处指定接收的服务器地址(C2)。
云沙箱关联分析
得到相关C2信息后,我们可以利用云沙箱高级搜索功能对样本进行关联分析。红雨滴云沙箱提供有强大的IOC信息关联查询功能(红雨滴云沙箱高级搜索也提供了相同的功能入口)。在云沙箱报告的多个元素中都提供了TI及关联查询的功能。比如,在沙箱报告会话信息给出的IP地址的右侧,便有TI查询和关联查询两种查询功能按钮。
通过会话信息右侧的对角圆圈图标点击关联具有相同C2的样本列表
也可以在沙箱首页的高级搜索中选择IP进行关联搜索,点击首页中的搜索选项卡中的高级搜索按钮:
再选择动态行为domain,填入C2地址: ******.***china.com,进行搜索关联
通过对样本网络行为domain关联便可查找出多个同源样本:
样本载荷分析
样本使用go作为开发语言,并使用MinGW进行编译,运行后,首先使用TLS进行反调,然后通过判断系统内存、处理器个数、时间差等进行反沙箱操作。随后在%temp%目录下释放诱饵文档,然后通过调用cmd.exe将诱饵文档打开以迷惑受害者。
Shellcode使用BASE64编码,在解码后进行调用。
最终解密执行的ShellCode是常见的Cobalt Strike生成的。
总结
聪者听于无声,明者见于未形。感知不到风险,才是最大的风险。奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
部分IOC信息
357aadd93bca03bd0ba555456384b019
155e5ac0d41d6e31787800b85e9a1782
4e64064e83485084f74278395f99ea7b
域名:
sso.mail.***china.com(域名本身非恶意,伪造的加速域名被用于CDN隐藏通信)
关于红雨滴云沙箱
威胁情报中心红雨滴云沙箱早在一年多以前便是奇安信所有产品中唯一被业内权威威胁分析厂商VirusTotal所集成的威胁分析类产品:
https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html
红雨滴云沙箱已集成VirusTotal
并且,红雨滴云沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品,部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴云沙箱的分析报告。
VirusTotal样本动态分析结果中集成的红雨滴云沙箱分析结果