技术报告

【天穹】GrimResource来袭!看天穹沙箱精准检出MSC样本

技术报告, , ,
近期,天穹团队在日常狩猎活动中发现了一个MSC格式的样本,该样本利用了一种被称为GrimResource的攻击技术,当用户点击样本后,就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布,市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响,具备强大的样本分析能力,针对msc格式的文件也可以有效分析。接下来,我们结合天穹沙箱分析报告,深度剖析此类样本的攻击手法。
阅读更多

【天穹】多个变种!某知名游戏启动器遭银狐劫持

技术报告, , ,
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
阅读更多

【天穹】天穹沙箱推出全新脚本执行追踪功能

技术报告, ,
在Windows环境中,脚本类型样本层出不穷,恶意软件样本中采用脚本语言编写的比例日渐攀升,利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题,天穹沙箱更新并引入了一项强大的脚本执行追踪功能,该功能可精准捕获脚本的执行过程,使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入,也助力安全人员的分析工作更为便捷高效。
阅读更多

【天问】TEA: NPM生态再度陷入垃圾软件包困境

技术报告,
在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。
阅读更多

【天穹】MacOS窃密样本:AMOS家族新变种

技术报告, ,
近日,天穹沙箱在进行日常样本狩猎时注意到一个特殊的MacOS样本。经过天穹沙箱动态分析和人工校验,确定该样本为`Atomic Stealer`​家族,与历史版本不同的是,该样本首次采用了base64编码的osascript下载恶意载荷,因此进一步确定该样本为`Atomic Stealer`​家族新变种。Atomic Stealer (AMOS) 是专门针对MacOS系统开发的信息窃取恶意软件,于2023年4月首次被发现,此后出现多个变种,某些变种通过`.dmg`软件包进行传播,一旦安装,它将立即开始搜集系统敏感信息并发送给远程服务器。我们此次分析的就是`.dmg`软件包类型的窃密样本,以下利用天穹沙箱的自动化分析能力,对该样本的具体行径进行深入分析。
阅读更多

【天穹】HVV专题:暗藏玄机-揭秘Python在压缩包中的隐蔽攻击手法

技术报告, , ,
在HVV行动中,红队的黑客们总是能想出不少脑洞大开的攻击套路。本次,我们将介绍近期发现的一种新型压缩包攻击手法,攻击者将完整的Python可执行程序封装于压缩包内,通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件,再打开一个文档文件掩盖后台的恶意行为。目前,天穹沙箱已经发现数个使用此攻击方式的钓鱼样本,在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招,因此我们结合天穹沙箱强大的压缩包分析功能,对此类攻击方式进行了更为深入细致地剖析。
阅读更多