技术报告

【破壳之路】破壳平台多粒度漏洞查询实践

技术报告MikroTik, TP-Link, 破壳平台 2024年8月16日2024年8月16日

本文为破壳平台的教学系列《破壳之路》的开篇之作，主要是讲解了在面对不同的分析对象时，如何通过编写查询语句，快速完成漏洞筛查。

Scala代码审计之痛 — Scala与Java的爱恨情仇

技术报告Scala, 代码审计 2024年8月16日2024年8月16日

本文阐释了Scala源程序反编译后一些特殊中间变量的含义，并通过曾被披露的Scala程序漏洞向读者揭秘Scala漏洞挖掘。

【天穹】MacOS窃密样本：AMOS家族新变种

技术报告AMOS, macOS, 窃密样本 2024年8月16日2024年8月16日

近日，天穹沙箱在进行日常样本狩猎时注意到一个特殊的MacOS样本。经过天穹沙箱动态分析和人工校验，确定该样本为`Atomic Stealer`家族，与历史版本不同的是，该样本首次采用了base64编码的osascript下载恶意载荷，因此进一步确定该样本为`Atomic Stealer`家族新变种。Atomic Stealer (AMOS) 是专门针对MacOS系统开发的信息窃取恶意软件，于2023年4月首次被发现，此后出现多个变种，某些变种通过`.dmg`软件包进行传播，一旦安装，它将立即开始搜集系统敏感信息并发送给远程服务器。我们此次分析的就是`.dmg`软件包类型的窃密样本，以下利用天穹沙箱的自动化分析能力，对该样本的具体行径进行深入分析。

【天穹】HVV专题：暗藏玄机-揭秘Python在压缩包中的隐蔽攻击手法

技术报告HVV, Python, 压缩包, 钓鱼 2024年8月16日

在HVV行动中，红队的黑客们总是能想出不少脑洞大开的攻击套路。本次，我们将介绍近期发现的一种新型压缩包攻击手法，攻击者将完整的Python可执行程序封装于压缩包内，通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件，再打开一个文档文件掩盖后台的恶意行为。目前，天穹沙箱已经发现数个使用此攻击方式的钓鱼样本，在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招，因此我们结合天穹沙箱强大的压缩包分析功能，对此类攻击方式进行了更为深入细致地剖析。

【天穹】Linux后门Xnote家族的新变种：FZX

技术报告Linux, Xnote家族, 后门, 天穹沙箱, 新变种FZX 2024年8月15日2024年8月15日

近日，天穹沙箱团队捕获了一个名为“top.386-32.elf”的样本，经过初步分析，该样本是一个具有感染性的后门，其采用了53端口与C2通信。该样本是2024年8月1日出现的新型样本家族，因其多处用到“FZX”字符串，故将其定为“FZX家族”。该家族目前还在不停的迭代更新。本次我们以该样本为案例，向大家展示如何结合天穹沙箱来分析样本，如何理解天穹沙箱的分析结果报告。

【天穹】HVV专题：典型HVV样本总结与IOC收集（第二期）

技术报告CobaltStrike, 侧加载, 沙箱, 灰黑产, 钓鱼 2024年8月8日2024年8月8日

转眼间，HVV行动已经进行两周了，奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结，给大家分享我们的新发现。除分析典型样本外，我们还在文末附上了一批高价值HVV样本IOC福利，欢迎大家查阅。

【天穹】HVV专题：典型HVV样本总结与IOC收集（第一期）

技术报告CobaltStrike, 侧加载, 护网, 灰黑产, 钓鱼 2024年8月1日2024年8月1日

近期，HVV行动进行地如火如荼，奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析，后台同步开展人工研判样本分析结果，全力保障用户安全。本文整理了近期较为典型的HVV样本，其传播方式仍以钓鱼为主，通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击，样本家族仍以`CobaltStrike`居多，同时也出现了许多红队自写C2框架，在C2通信协议上，样本广泛使用`云函数`和`国内云服务器IP`作为C2地址，并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。

Git出乎意料的攻击面

技术报告Git, RCE, 漏洞分析 2024年8月1日2024年8月1日

作为常用的客户端代码管理工具，Git广泛应用于项目管理。然而，小巧的软件中也潜藏远程代码执行的风险。本文将分析Git的工作原理和攻击面，揭示其潜在的安全问题。

JDBC Attack与高版本JDK下的JNDI Bypass

技术报告JNDI注入 2024年7月30日2024年7月30日

JNDI 注入作为 Java 攻击的常见 Sink 点，通常被用于 Weblogic 以及 Fastjson 等常见目标的攻击流程中，而 JNDI 注入的利用经过 JDK 新版本对相关利用的修复，以及一些常见依赖利用方式的变化，在高版本 JDK 中，其利用逐渐遭遇了困境。而 JDBC Attack，作为针对 Java 数据库引擎的一种攻击方式，除了其常规的利用方式之外，也可以与原生反序列化结合起来，实现对 JNDI 攻击的扩展，解决高版本下 JNDI 注入的困境。

【天穹】HVV专题：火眼金睛-伪装为灰黑产软件的反沙箱木马

技术报告CobaltStrike, 反沙箱, 护网, 灰黑产, 钓鱼 2024年7月29日2024年7月29日

近期HVV行动，天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中，发现一个钓鱼样本被大量用户重复投递，这一高频率出现的样本岂能逃过分析人员的火眼金睛？本次分享，就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”，从名称来看，这是一个灰黑产相关的软件，初步判断它是典型的HVV样本。对压缩包解压处理，得到一个命名为身份证正反生成.exe的可疑执行文件，以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容，文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析，我们发现它实际是一个CobaltStrike 木马，该样本同时具有反沙箱特征，成功规避了多家友商沙箱检测，这也激起了我们的好奇心，决定一探究竟。