奇安信与浙江大学合作成果获网络安全顶会NDSS杰出论文奖
近日,第32届网络与分布式系统安全研讨会(NDSS)在美国圣迭戈举办。由浙江大学与奇安信技术研究院合作发表的论文《ReThink: Reveal the Threat of Electromagnetic Interference on Power Inverters》在会议录用的211篇论文中脱颖而出,获得杰出论文奖(Distinguished Paper Award)。
技术报告
【喜报】研究成果被国际顶级会议 ICSE 2025 录用
本论文是由复旦大学、奇安信技术研究院、清华大学合作完成的研究工作。本文揭示了一种新型攻击模式——"通过软件仓库实施黑帽搜索引擎优化攻击(RepSEO)"。攻击者通过精心构造软件包操纵搜索引擎的结果,利用软件仓库的公信力为非法网站引流。
【喜报】研究成果被国际顶级会议 WWW 2025 录用
近日,由上海交通大学、奇安信技术研究院、清华大学合作完成的论文被国际顶级学术会议 WWW 2025(ACM Web Conference 2025)录用。
Java XStream 反序列化:Gadget 挖掘思路分享
Java语言中最常见的一类漏洞就是反序列化漏洞,在各种数据格式到Java对象的转化过程中,常常存在这类漏洞。常见的数据类型例如jdk提供的原生序列化数据、json、yaml、xml等等。针对这类漏洞存在一种特别的漏洞挖掘方式—Gadget挖掘,这种漏洞挖掘不需要去寻找特定的外部入口漏洞入口,入口往往是公开的,应用通过对传入的数据内容进行过滤和检查。
【天穹】天穹沙箱推出Shellcode模拟执行功能
在信息安全领域,Shellcode以其小巧、简洁、独立等特性,常被作为漏洞利用的功能载荷插入到系统或某些程序中实现攻击者的意图,如获取系统控制权、下载并执行恶意软件、创建后门或发送数据等。因此,检测和分析Shellcode是信息安全防护的重要环节。为了能够智能化分析Shellcode,天穹沙箱推出了Shellcode模拟执行功能,该功能能够模拟执行各种Shellcode,捕获执行过程中的关键行为,包括内存操作、系统调用、网络活动等,并深入分析其行为和特征,生成详细的分析报告,帮助安全研究人员更好地理解和识别潜在的恶意代码。
【天问】PyPI模块替代攻击
2024年12月24号,天问Python供应链威胁监测模块发现PyPI中出现了许多利用模块替代攻击的恶意包,这些包中内置的第三方模块(例如requests)会替代用户主机中原有的模块,导致用户在不知情的情况下被攻击。
【天穹】警惕Lumma Stealer:深入剖析高级窃密木马攻击手法
近期,天穹沙箱分析人员发现线上数个样本的流量均检出相似的Lumma Stealer活动,其中两个样本为Powershell脚本,另一个为伪装的EXE安装器,三个样本在运行后都连接了相同的C2地址。经分析,这三个样本实际存在父子关联关系。
【天穹】银狐攻击新动向:伪装为GPT安装器的隐秘木马
近期,天穹沙箱分析人员在公网样本狩猎时发现一个高危样本,该样本将自身伪装为ChormeGPT_install.exe安装包,诱导用户点击执行,在安装过程中完成C2通信和持久化注册。对样本溯源后发现,有多个样本访问了相同的C2地址,并且都是以安装包的形式存在。根据攻击手法判断,这些样本均来源于银狐组织。由于这批样本中引入了一些与之前不同的攻击手段,下面我们将对该样本进行深度分析。
【天穹】SDC 2024:大模型技术在恶意软件分析中的实践
本文是星图实验室研究员刘璐、尹斌,在看雪SDC 2024上发表的议题《大模型技术在恶意软件分析中的实践》。该议题阐明了当前恶意软件分析方法面临的问题,针对分析难点和分析需求详细说明了借助大模型技术提高恶意软件分析效率及分析结果等方面的实践。
Android保护机制及利用技巧总结
本文总结了在Android上利用漏洞时遇到的一些新的保护机制以及在真机上的内核漏洞利用和调试技巧。虽然Android底层为Linux内核,但是相比较下Android内核更加难利用,主要体现在真机不能实时调试,可能开启了BTI保护、PAC保护和CFI保护,同时在近年新出的一些手机,如Pixel 10开启了内存标记访问保护Memory Tagging Extension(MTE)。本文还将介绍MTE保护在用户态时的一个特殊的绕过方法,通过探讨这些新的保护机制及其应对策略,我们希望能够帮助读者更好地理解当前Android安全环境,并为未来的漏洞研究提供新的思路和技术手段。