【红雨滴云沙箱】案例：一大波实战攻防演习样本分析之CHM恶意文件

一 / 概述

近期，奇安信威胁情报中心在日常的样本运营中，捕获了多例实战攻防演习样本。样本主要以“薪酬调整”、“审核材料”、“局处级干部进修”、“攻防演习”等话题为诱饵。与往年不同的是，今年HW攻击队投递的样本普遍具有比较好的免杀性，大部分样本在VirusTotal报毒较少甚至0查杀。

但通过奇安信威胁情报中心红雨滴高对抗沙箱（https://sandbox.ti.qianxin.com/）自动化分析平台，我们轻松捕获到了绝大部分样本的真实恶意行为。而部分样本仅有红雨滴高对抗沙箱能够触发完整的行为，甚至号称业界最强的anyrun沙箱也无能为力，这足以体现红雨滴沙箱恶意样本对抗分析引擎的强大！

在对样本进行详细分析后，我们总结了近期HW攻击队样本的一些特点。在本文中，我们将对比较有代表性的样本进行分析介绍，希望帮助读者从多个方面了解和防范此类攻击。

二 / 案例

本次发现的一例针对防守方的钓鱼样本以攻防演习为诱饵投递 <攻防演习补丁检测使用手册.CHM> 文件。该CHM文件在用户电脑上运行之后，将会连接攻击者的C&C服务器下载后续PayLoad到本地加载执行以实现对用户主机的完全控制。

首先，使用TI账户登录威胁情报中心威胁分析平台（https://ti.qianxin.com/）后，选择文件分析选项卡，既可拖拽投递需要分析的样本文件：

图1 Alpha分析平台红雨滴沙箱入口

也可以通过访问红雨滴沙箱入口（https://sandbox.ti.qianxin.com/sandbox/page）上传待分析文件：

图2 红雨滴高对抗沙箱分析入口

在上传待分析文件后，可以手动设置沙箱分析参数：分析环境（操作系统）、分析时长等。而红雨滴高对抗沙箱由于针对各类样本已经做足了智能化判定，所以基本上以默认方式提交检测即可：

图3 红雨滴沙箱样本分析适配页面

点击“开始分析”按钮后，会自动跳转到对应样本的分析检测结果页面。稍等数分钟则可以看到整个样本的详细分析报告。

沙箱报告主的头部要分为两大部分：左侧的报告内容（可上下滑动）和右侧的导航栏。

图4 红雨滴沙箱分析报告首页概览

分析人员可以通过右侧的导航栏点击选择需要即时查看的针对性沙箱报告内容。导航栏包括样本分析和关联相关的11大维度：概要信息、威胁情报、AV引擎、行为异常、静态分析、深度解析、主机行为、网络行为、释放文件、运行截图、社区。

我们以该CHM样本为例，简单介绍红雨滴高对抗沙箱报告中的几大功能和内容。

红雨滴沙箱报告顶端是对该样本检测的概要信息和威胁情报关联信息。其中概要信息包括文件的MD5、SHA1、SHA256等HASH信息，文件类型、文件大小、本次沙箱检测的操作系统环境信息、文件信誉、RAS检测、基因特征等信息。

此外，恶意评分位于概要信息右侧，是红雨滴沙箱基于样本分析的所有维度针对该样本的智能判断，分别有4类不同的判定结果：恶意、可疑、未发现风险、安全。很显然，该样本被明确标记为了恶意样本。

图5 红雨滴沙箱恶意评分

文件信誉一栏则表明了该样本已经被云端标记为恶意样本，且恶意家族为Trojan。

图6 红雨滴沙箱文件信誉判断

RAS检测结果则是红雨滴团队自研的APT样本检测引擎对该样本深度扫描的结果，可以看到该样本被RAS引擎检测为CHM_Exec，也就是携带了可执行代码的高危CHM文件。

图7 红雨滴沙箱RAS检测结果

基因特征则是红雨滴沙箱基于动静态行为识别的样本动静态相关的标签，可以看到该样本具有：可疑程序、powershell、下载者、联网行为等恶意标签信息。

图8 红雨滴沙箱基因特征检测结果

威胁情报一栏则会基于红雨滴沙箱检测及触发的相关IOC对象进行关联匹配，这里可以看到该样本执行后访问了一个境内已经被标记为攻防演练的IP地址，而样本本身也被标记为木马。

图9 威胁情报关联信息

红雨滴高对抗沙箱针对分析的样本智能的输出了丰富的行为异常分析结果，分别会以红色、黄色和绿色顺序排列样本执行过程中的异常行为，红色代表高危，粉色代表中危，绿色代表一般的低危行为。

而通过该样本的行为异常可知，样本创建了PowerShell进程，并且利用PowerShell向某个IP地址进行了下载执行的高危操作。

图10 红雨滴沙箱行为异常结果

文件深度解析是红雨滴沙箱内置的自研RAS引擎的又一大独创的亮点功能。其主要设计思路为应对复杂的抽象文件形态：压缩包、复合二进制文档、邮件、多层包裹/压缩/加壳后的复杂文件体等等。引擎通过层层递归“解包”拆解的方式，将目标“文件”的所有“外衣”剥离，并通过独有的文件内部父子关系描述能力，获取文件特有的基因特征：包括复合二进制文档的属性信息、URL、OLE、宏信息、PE文件的壳、包、子流HASH、多文件关系信息等基因信息。

而通过红雨滴高对抗沙箱集成的文件深度解析能力，我们通过沙箱报告很轻松的就可以发现暗藏于CHM文件HTML脚本中的恶意PowerShell脚本。分析人员完全不需要对分析文件进行本地化操作，即可轻松发现暗藏的恶意代码，非常的方便快捷。

图11 红雨滴沙箱文件深度解析结果

图12 红雨滴沙箱文件深度解析结果

红雨滴沙箱提供的主机行为分析图则非常的简洁明了，通过该样本的主机行为分析图，我们一眼就看出了恶意样本的执行流程：通过系统自带的hh.exe打开CHM文档后便触发执行了PowerShell.exe进程，而PowerShell最终访问了IP地址：42[.]51.29.104。

图12 红雨滴沙箱主机行为信息

而进程链信息也清晰的展示了整个执行过程，以及PowerShell.exe进程所执行的脚本信息。

图13 红雨滴沙箱进程链信息

红雨滴沙箱提供的运行截图也可以清晰的观察样本的执行过程，在这里可以清楚的看到CHM文档打开后的文档内容。

图14 红雨滴沙箱运行截图

红雨滴沙箱还提供了生成三类格式化报告的功能，分别有：WORD报告、HTML报告和PDF报告，满足了分析人员快速输出对应报告的需求，注册用户通过点击概要信息底部的按钮，便可即刻生成下载对应的沙箱格式化报告。

图15 红雨滴沙箱自动生成的WORD报告

图16 红雨滴沙箱自动生成的PDF报告

最后，红雨滴沙箱还提供了人工分析服务，如果样本分析失败或者分析结果明显有误，都可以通过点击概要信息底部的人工分析按钮进行反馈。

图16 红雨滴沙箱人工分析入口

图16 红雨滴沙箱人工分析提交页面

三 / 样本分析总结

至此，通过红雨滴高对抗沙箱的辅助分析，我们很容易借助沙箱的帮助出具一份较为详细的分析报告，还是以该CHM样本为例：

1. CHM样本运行后，会自动加载执行html文件

2. Html文件会进一步调用执行PowerShell并从http://42[.]51.29.104:7777/a加载后续Payload

3. 后续下载到的Payload为CS框架生成的标准PowerShell加载器，该加载器会解码硬编码在文件中的Base64字符串并解压缩执行第二段PowerShell指令

图14 CHM样本html脚本信息

第二段Powershell依旧是解码硬编码的数据，循环解密之后通过Invoke加载执行。

图15 CHM样本远程加载的PowerShell代码

四 / 关于红雨滴高对抗沙箱

红雨滴高对抗沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石。

威胁情报中心红雨滴高对抗沙箱早在一年多以前便是奇安信所有产品中唯一被业内权威威胁分析厂商VirusTotal所集成的威胁分析类产品：

https://blog.virustotal.com/2020/02/virustotal-multisandbox-qianxin-reddrip.html

图16 红雨滴沙箱已集成VirusTotal

并且，红雨滴沙箱也是VirusTotal中对恶意样本行为检出率最高的沙箱产品，部分高危样本可以通过点击BEHAVIOR选项卡查看到VirusTotal-红雨滴沙箱的分析报告。

图16 VirusTotal样本动态分析结果中

集成的红雨滴沙箱分析结果