【天穹】窃密家族:LummaC2携新型反沙箱技术归来

一、概述

近期,天穹沙箱监测到LummaC2家族的新型变种样本活动。经过天穹沙箱和人工分析,我们发现该变种样本采用了一种新颖的反沙箱技术,以规避动态分析。LummaC2是一类信息窃取恶意样本,该家族自2022年12月起在地下论坛出售,已迭代出多个版本,这表明恶意软件的开发者一直在持续开发和改进。

目前,我们捕获到的是LummaC2 v4.0 版本变种。通过分析,我们发现该版本引入了一系列新的动静态免杀技术和独特的沙箱逃逸与规避技术。其中,新增的反沙箱技术利用三角函数来判断真实用户活动,通过计算鼠标移动的角度,验证移动角度符合要求后,才会激活其恶意行为。

得益于天穹沙箱强大的模拟仿真交互能力,我们成功绕过了该变种样本的反沙箱检测手段,并引导样本进一步执行以触发其恶意行为。此外,沙箱内置了丰富的检测规则,可以支持对变种样本进行查杀。多种能力组合,大幅提升了天穹沙箱对具有未知逃逸方法样本的分析能力。

二、样本信息

本次我们以下面的LummaC2样本为例,向大家展示天穹沙箱的分析能力和检测结果。样本基本信息如下:

  • SHA1:ea606f7b695c8826e291136423e8caa100dbca73
  • 文件名:1a6d38a9dfaf650971d6522f3f06ba12.exe
  • 文件类型:exe
  • 样本家族:LummaC2
  • 文件大小:537.50 KB

三、样本分析

1. 样本投递

天穹沙箱开箱即用,只需将可疑样本拖入投递窗口即可上传,沙箱会自动选择合适的环境进行分析,如图1所示:

图1 样本投递

2. 综合评价

打开样本分析报告,在顶部的综合评价部分可以看到,沙箱选择Windows XP x86-32环境运行样本,并将样本判定为恶意。如图2所示,标签部分展示了沙箱多维度深度分析的结果,静态引擎判定样本为恶意,所属家族为LummaC2,动态行为标注了样本查询域名的网络行为。同时,如图3所示,天穹沙箱为用户提供了恶意样本威胁处置建议。

图2 综合评价
图3 威胁处置建议

3. 威胁配置提取

威胁配置提取部分展示了从静态样本文件和内存转储文件中提取到的样本配置信息。如图4所示,沙箱识别样本为LummaC2家族,并成功提取了C2地址和解密后的配置字段。威胁配置提取功能目前已支持CobaltStrike、Metasploit、Mirai、Emotet、QBot、Allcome等家族,可提取C2、URL、秘钥、请求头、会话ID、比特币钱包等敏感信息。

图4 威胁配置提取

4. 动态分析

4.1 模拟仿真

如图5所示,天穹沙箱在运行样本过程中,智能化模拟鼠标移动过程,对人机交互高度仿真。此外,天穹沙箱系统在软件环境仿真、硬件特征仿真、数据环境仿真、用户交互仿真、网络环境仿真、延时机制处理等沙箱分析环境仿真方面做了大量的优化,突破了一百多种沙箱反制与动态分析对抗技术,可以对抗al-khaser、pafish等反虚拟化、反自动化分析工具的探测和干扰。

图5 鼠标移动模拟

4.2 敏感字符串

敏感字符串部分记录了样本动态运行时的可疑内存数据,在样本进程内存中存在与C2相似的字符串,如图6所示。结合图4所示的威胁配置信息提取数据,我们可以确定该样本所属家族是LummaC2

图6 敏感字符串

4.3 联网活动

如图7所示,由于域名已经无法正常解析,所以样本无法触发更多的恶意行为。安全分析人员猜测 LummaC2 家族团伙对服务做暂时下线处理,不排除后期重新开启服务。

图7 联网活动

5. 人工分析

5.1 代码混淆

样本第一层填充了许多垃圾汇编指令,同时使用push+retjz+jnz等组合指令进行代码混淆,增加静态分析难度,如图8所示:

图8 代码混淆

样本第二层是一段内存PE载荷,该PE使用Control Flow Flattening (控制流平坦化) 技术,进一步增强分析难度,如图9所示:

图9 控制流平坦化

5.2 反沙箱技术

LummaC2 v4.0引入了一种新颖的反沙箱技术,准确来说是鼠标光标移动检测法的变种。本次变种增加了对光标移动角度的检测,通过采样计算移动前和移动后两点之间连线的水平夹角不超过45°即可通过检测,如图10所示。天穹沙箱内置的模拟仿真交互能力,可绕过这种反沙箱技术,进而诱导样本继续执行,触发其恶意行为。

图10 反沙箱技术

6. 同行对比

根据实际测试验证,友商目前对于这种新颖的反沙箱技术的检测还不够完善。

6.1 国内同行测试情况

沙箱A:未触发网络行为:

图11 沙箱A

沙箱B:未触发网络行为,且判定样本为安全:

图12 沙箱B

6.2 国外同行测试情况

沙箱C:未触发网络行为

图13 沙箱C

沙箱D:未触发网络行为

图14 沙箱D

四、 IOC

http://gogobad[.]fun
http://curtainjors[.]fun
1a6d38a9dfaf650971d6522f3f06ba12

五、 技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。

天穹沙箱支持模拟14种CPU架构的虚拟机,环境数量50+,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。在宿主机方面,除了Intel/AMD的x86架构CPU和CentOS操作系统之外,天穹沙箱支持海光、飞腾、鲲鹏等x86、ARM架构国产CPU和银河麒麟、中科方德等信创操作系统。

天穹沙箱系统以云沙箱、引擎输出、数据接口等多种形式服务于公司各个业务部门,包括天眼、终端安全、态势感知、ICG、锡安平台、安服等。

天穹内网地址(使用域账号登录):https://sandbox.qianxin-inc.cn
天穹公网地址(联系我们申请账号):https://sandbox.qianxin.com

技术报告, , ,