技术报告 – 第9页 – 奇安信技术研究院

【天穹】CobaltStrike：跨平台版Beacon携变种壳现身

技术报告Beacon, CobaltStrike, 变种UPX, 自动化脱壳 2024年1月15日2024年1月16日

近日，天穹沙箱在进行日常样本狩猎时发现了一个特殊的ELF样本。经过综合研判，该样本被确定为Linux/CobaltStrike家族。在日常狩猎中，我们常常遇到CobaltStrike样本，但是Linux版本的CobaltStrike样本却非常罕见。初步对该样本进行了分析，发现它采用了变种UPX壳、使用了HTTPS会话协议，并对C2流量进行了伪装处理以绕过IDS检测。

破壳分析：Linksys设备多个0-day漏洞

技术报告Linksys, 破壳分析 2024年1月11日2024年1月11日

Linksys E8450设备的攻击面选取，以及如何结合破壳平台，对目标进行漏洞发现，最终获得12个CNVD漏洞编号。

由奇安信技术研究院、清华大学和特拉华大学合作完成的论文被国际顶级学术会议IEEE S&P‘24（45th IEEE Symposium on Security and Privacy）录用。论文题目是《More Haste, Less Speed: Cache Related Security Threats in Continuous Integration Services》，这也是两年来奇安信技术研究院在IEEE S&P学术会议上发表的第三篇软件供应链安全领域的研究论文。

BMC漏洞实例分析

技术报告BMC, 漏洞分析 2023年12月13日

本文主要分享了BMC常见的攻击面及相关实例，从这些漏洞可以看出大部分漏洞成因是常见的逻辑处理问题。因此在对BMC分析的过程中，可以重点审计SMASH、SNMP、IPMI、HTTPS相关处理代码。

【天问】PyPI 反沙箱恶意下载器分析

技术报告Python, 恶意代码分析 2023年12月13日2024年1月15日

最近，天问Python供应链威胁监测模块首次发现了使用反沙箱技术的恶意Python包，其集成多个窃取用户隐私信息的GitHub开源项目。它可以窃取用户浏览器中的密码，监控用户键盘输入，获取IP、位置、用户名等敏感信息。分析表明，攻击者开始组合现有武器库，尝试扩大单次攻击产生的效益，值得警惕。

CodeDom漏洞模式与SharePoint RCE

技术报告CodeDom, 漏洞模式 2023年12月7日

CodeDom 机制常被用于即时代码编译（wcf客户端），或者给用户提供一个有限的可编程功能（workflow 编程)。

IoT设备中的认证绕过漏洞分析

技术报告IoT 2023年12月7日2023年12月7日

在IOT设备中，认证漏洞出现频率较高，能够造成的很大危害。通过认证的绕过，攻击者可以访问到很多敏感接口，甚至可以结合其他漏洞直接获取设备 shell。本文将通过一些设备分析认证过程以及认证绕过。

Exchange Server(CVE-2023-36439)远程代码执行漏洞分析

技术报告Exchange 2023年12月7日2023年12月7日

本文分析了CVE-2023-36439的补丁及漏洞成因，同时简单统计可以发现关于Exchange Powershell模块已经披露了超过10个相关漏洞，并且大部分都可以通过变种分析来发现，文中提到的多个漏洞编号其实均为CVE-2022-41082(proxynotshell)的变种漏洞，同时比如10月补丁的CVE-2023-36778其实也是CVE-2022-41076的相似漏洞。通过本文希望能帮助读者更好理解Exchange Powershell模块的相关漏洞原理。