技术报告

【天问】npm生态针对angular和react进行的大规模typosquat攻击

技术报告,
2023年9月26日,奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间,累积上传了821个恶意npm包,其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。
阅读更多

【天穹】案例:通过钓鱼邮件传播的IcedID窃密软件

技术报告, , ,
近日,天穹沙箱发现一个有趣的样本,通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件,其中密码存放在邮件正文中。解密后,压缩包内包含一个ISO文件,ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思,通过深度的层层伪装使其极具迷惑性,导致许多沙箱无法正确分析。然而,得益于天穹沙箱多维度的深度检测功能,通过对邮件、压缩包、可执行文件进行全面的分析,我们能够呈现该样本全面完整的攻击手段和过程。
阅读更多

【天穹】HVV案例:典型恶意样本攻击手法总结

技术报告, , , , ,
网络攻防真人秀(H/W)已过去一周,奇安信技术研究院秉承“安全能力输出,实际行动支前”的理念,基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱,持续狩猎高价值样本并自动化分析和研判,为各位师傅们输出高水平分析报告。
阅读更多

【CNCERT&奇安信联合报告】关于Mirai变种僵尸网络大规模传播的风险提示

技术报告
本报告由国家互联网应急中心(CNCERT)与奇安信科技集团股份有限公司(奇安信)共同发布。近期,CNCERT和奇安信共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络,通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过2万、且每日会针对多个攻击目标发起攻击,给网络空间带来较大威胁。该僵尸网络为Mirai变种,包括针对mips、arm、x86等CPU架构的样本,在近2个月的时间中,我们捕获的该Mirai变种样本至少迭代过4个版本,通信协议都与Mirai基本一致,传播方式当前主要为Telnet口令爆破,历史上曾利用Nday漏洞进行传播。
阅读更多

又一”核弹级”漏洞?fastjson漏洞影响深度测量

技术报告
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,漏洞等级为高危。截止2022年5月24日,我们发现Maven Central中的9,902个Java包依赖于包含漏洞的fastjson版本,这意味着Maven Central上约2.13%的软件包至少有一个版本受到此漏洞威胁。如果说去年底爆出log4j远程代码执行漏洞是一颗大型核弹的话(影响了约17,000个Java包,占比约4%),fastjson的漏洞影响则不亚于一颗中型核弹。
阅读更多

【天问】DissCord:以Python软件供应链为入口的Discord窃密攻击分析

技术报告
2021年12月25日,奇安信技术研究院星图实验室自研的天问软件供应链安全分析平台Python供应链威胁监测模块全网率先捕获到一个以Discord为攻击目标的恶意Python包,并在后续两周陆续监测到10个攻击Discord的包,在发现这些恶意包之后,我们第一时间向PyPI官方反馈并移除了这些恶意包。
阅读更多