技术报告 – 第10页 – 奇安信技术研究院

Exchange Server(CVE-2023-36439)远程代码执行漏洞分析

技术报告Exchange 2023年12月7日2023年12月7日

本文分析了CVE-2023-36439的补丁及漏洞成因，同时简单统计可以发现关于Exchange Powershell模块已经披露了超过10个相关漏洞，并且大部分都可以通过变种分析来发现，文中提到的多个漏洞编号其实均为CVE-2022-41082(proxynotshell)的变种漏洞，同时比如10月补丁的CVE-2023-36778其实也是CVE-2022-41076的相似漏洞。通过本文希望能帮助读者更好理解Exchange Powershell模块的相关漏洞原理。

【天穹】窃密家族：LummaC2携新型反沙箱技术归来

技术报告LummaC2, 信息窃取, 恶意代码, 沙箱 2023年11月30日2024年1月15日

近期，天穹沙箱监测到LummaC2家族的新型变种样本活动。经过天穹沙箱和人工分析，我们发现该变种样本采用了一种新颖的反沙箱技术，以规避动态分析。然而，借助天穹沙箱强大的模拟仿真交互能力，我们成功绕过了该变种样本的反沙箱检测手段，并引导样本进一步执行以触发其恶意行为。

WAF防护绕过技巧分析

技术报告WAF防护 2023年11月16日2023年11月17日

本文结合个人经验及相关文章，总结常见WAF绕过原理及技巧。

伪随机数问题浅析

技术报告伪随机数, 漏洞模式 2023年11月16日2023年11月17日

本文通过分析CVE-2022-35890和CVE-2023-42820两个漏洞带大家深入浅出伪随机数问题，以及如何安全使用随机函数。

Windows内核竞态条件漏洞研究

技术报告Windows内核, 漏洞模式 2023年11月16日2023年11月17日

本文主要分析研究了近年来披露的Windows内核及驱动程序中的竞态条件漏洞。

Microsoft Hyper-V 虚拟 TPM 设备漏洞分析

技术报告Hyper-V, Microsoft 2023年11月15日2023年11月17日

CVE-2023-36717和CVE-2023-36718漏洞分析。

CVE-2023-0179 Linux内核提权

技术报告内核提权 2023年11月15日2023年11月17日

本文介绍CVE-2023-0179的漏洞成因和漏洞利用过程中的注意点。

【天问】NuGet生态发现万圣节恶搞（恶意）包

技术报告NuGet, 恶意软件 2023年10月31日2024年1月15日

今日，奇安信技术研究院“天问”软件供应链安全监测平台监测到NuGet生态中有用户发布了包含自动执行脚本的包 Danger.ScriptExec-Vulnerable。我们通过平台对该包进行了动态行为分析，发现在安装该包的时候存在使用无痕浏览打开网页以及无限弹窗的情况。结合静态代码分析，我们认为该包仅仅是为了万圣节恶搞而发布，不存在其他恶意行为。

【天穹】CobaltStrike魔改新招：针对配置数据的反检测手段

技术报告Beacon, CobaltStrike, 恶意代码, 沙箱, 魔改 2023年10月30日2024年1月15日

近日，天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本，该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时，天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配，但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后，可以初步确定该样本加载了经过深度魔改的Beacon。

【天问】PyPI 2023年Q3恶意包回顾（二）

技术报告Python, 恶意代码分析 2023年10月20日2024年1月15日

2023年第三季度，天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中，我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测，其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升，给供应链安全带来了巨大的挑战。