TAC检测恶意样本扩展分析实例(上篇)

TAC和NIPS的集成方案,在测试过程中捕获一个恶意样本。通过这个恶意样本的TAC告警分析,借助VirusTotal和威胁情报平台工具,我们展示了一次恶意软件的探索之旅。本文是恶意软件分析的上篇,通过TAC设备进行的分析,加上外围工具平台的分析。之后作者将出一份研究院的大拿的人工分析,敬请期待!

恶意软件现身

在NIPS和TAC产品的售前测试过程中,一般先分别展现NIPS和TAC的功能。其中NIPS对已知威胁进行告警和阻断,TAC对未知威胁进行检测。这是单产品能力展现常规路数,额外的,TAC和NIPS联动部署,还需要展现二者联动效果,达到TAC检测未知威胁而NIPS进行阻断的闭环,完美呈现产品组合价值。

在某中心的项目中,产品在客户处,正在紧张而有序进行着测试。查看TAC的高级威胁告警,一个flash的恶意软件进入测试工程师眼里。

查看这个flash样本的详细告警分析:

检测报告

]1 检测报告

TAC内置的病毒检测引擎,检测此样本为一个针对CVE-2015-5122的漏洞利用攻击(这个是防病毒的启发式检测,不是病毒签名检测);而动态检测引擎,也就是我们俗称的沙箱引擎,明确给出的是漏洞利用Shellcode。病毒引擎加上动态检测,此flash文件是一个恶意样本无疑。

TAC产品,在客户处的试用或者测试的过程中,产品部和一线心情一样,期望TAC能够抓获未知恶意样本,以此来验证产品的价值,即APT未知威胁检测能力。比如今年3月和4月,就有一大波勒索软件来袭,TAC不负众望, 擒获了多起勒索软件未知恶意样本。但是这个也有偶然因素,可遇不可求。

恶意样本信息挖掘

本来抓获样本,告知客户此样本的危害,也算是有所交代。不过,根据这个样本的告警信息,还可以继续深挖。

首先,通过样本的md5签名,到VirusTotal看检索一下,看看哪些防病毒软件先知先觉。搜索结果告诉我们,还没有防病毒引擎识别,“不惮以最坏的恶意来推测”,有可能是定制的一个特种木马。回头看这个flash的名字,movie.swf,好有欺骗性。

VirusTotal

]2 VirusTotal

再者,这个木马来自何方?样本分析报告中有源地址,是一个URL链接。我们看到这个域名挺有意思, http://www.zhongqiulipin.com/ ,拼出来是“中秋礼品”,猜测没准是个卖月饼的网站(小编头脑立刻显现伍仁月饼究竟是哪伍仁?)。用浏览器打开,并没有什么内容。再次审视这个域名,我们看看这个域名的Whois信息。

域名信息

]3 域名信息

同学们,亮点有没有发现?

是的,这个域名,刚刚注册。新域名刚刚挂在网上,就已经有恶意软件在身。到底是被入侵而挂马?还是本来就打算进行水坑攻击的bad guy呢?

再次审视域名。身处在安全行业,好奇心促使我们,必须得让福尔摩斯附体。我们尝试用时下最火的安全情报,检索下此域名,有没有被安全情报平台所收录。

现在我们自己的威胁情报中心查询,没有结果。
我们又在其他情报平台查询,也未发现线索。
看来此域名太新了。

威胁情报中心

]4 威胁情报中心

通过域名注册信息,我们发现域名的注册邮箱是一个qq邮箱,我们发现了另外一个域名(chanelcandybag.com),注册在同一个邮箱下。

相关域名

]5 相关域名

这个域名,也是刚刚注册,浏览器访问也未发现内容。

通过这个恶意样本的TAC告警分析,借助VirusTotal和威胁情报平台工具,我们展示了一次恶意软件的探索之旅。当然,我们还没有发现恶意样本在南昌信息中心造成危害,要知道,APT攻击会存在很长的潜伏时间,当恶意软件进入后,造成很多有害的影响,这个毋庸置疑。

最后,小编本文的目的,就是通过上文分析,让同学们看到,TAC对未知恶意软件的检测能力;对于技术小伙伴们,可以了解到,如何借助第三方平台进行更多的分析。
另外,这个恶意样本的分析还未结束,下篇我们会看到研究院大拿的分析细节,敬请期待!

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

发表评论