技术报告 – 第3页 – 奇安信技术研究院

VMware设备虚拟化漏洞挖掘（中篇）

技术报告VMware, 技术研究, 漏洞分析 2024年11月6日2024年11月6日

本篇文章中分享的漏洞在Workstation和Esxi上均可被触发，这使我们意识到，在整个USB模拟系统中，问题不仅可能出现在接近虚拟机Guest操作系统的USB主机控制器层面，甚至USB后端设备模拟也可能收到恶意的用户输入影响。

VMware设备虚拟化漏洞挖掘（上篇）

技术报告VMware, 技术研究, 漏洞挖掘 2024年11月6日2024年11月6日

奇安信天工实验室安全研究成果，入选国际顶级安全会议DEFCON 32 和 HITBSecConf 2024，议题名称《Dragon Slaying Guide: Bug Hunting In VMware Device Virtualization》。

【天问】新型供应链攻击：利用以太坊智能合约隐蔽C2的npm恶意包分析

技术报告NodeJs, 恶意代码分析 2024年11月6日

2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂的恶意攻击向受害用户主机植入后门，并进行持续控制。

【论文分享】3篇研究成果在国际顶级会议ACM CCS 2024中宣讲报告

学术动态, 技术报告安全论文, 开源生态研究, 软件供应链安全 2024年10月23日2024年10月23日

在刚刚结束的网络安全国际顶级会议CCS (The ACM Conference on Computer and Communications Security) 2024中，星图实验室共有3篇学术论文在会议中进行了分享报告。

【天穹】GrimResource来袭！看天穹沙箱精准检出MSC样本

技术报告CobaltStrike, DLL劫持, GrimResource, MSC 2024年9月14日2024年9月14日

近期，天穹团队在日常狩猎活动中发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布，市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响，具备强大的样本分析能力，针对msc格式的文件也可以有效分析。接下来，我们结合天穹沙箱分析报告，深度剖析此类样本的攻击手法。

【天穹】多个变种！某知名游戏启动器遭银狐劫持

技术报告DLL劫持, 侧加载, 钓鱼, 银狐 2024年9月14日

近期，天穹沙箱分析人员在样本狩猎时发现，某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑，遭银狐黑产组织DLL劫持利用，并在互联网上广泛传播。天穹沙箱已捕获到多个变种，经分析，这些样本的攻击手法相似，且均利用了相同的白程序。接下来，我们选取一个典型样本，对其进行深度分析。

【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践

技术报告漏洞分析, 破壳平台 2024年8月30日2024年8月30日

本文从复现历史CVE中总结出通用的漏洞查询模式，在TOTOLINK中进行实践并挖掘出新的0day。

【天穹】天穹沙箱推出全新脚本执行追踪功能

技术报告Windows, 天穹沙箱, 脚本执行追踪 2024年8月27日2024年8月27日

在Windows环境中，脚本类型样本层出不穷，恶意软件样本中采用脚本语言编写的比例日渐攀升，利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题，天穹沙箱更新并引入了一项强大的脚本执行追踪功能，该功能可精准捕获脚本的执行过程，使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入，也助力安全人员的分析工作更为便捷高效。