【天穹】窃密家族:LummaC2携新型反沙箱技术归来 技术报告LummaC2, 信息窃取, 恶意代码, 沙箱 2023年11月30日2024年1月15日 近期,天穹沙箱监测到LummaC2家族的新型变种样本活动。经过天穹沙箱和人工分析,我们发现该变种样本采用了一种新颖的反沙箱技术,以规避动态分析。然而,借助天穹沙箱强大的模拟仿真交互能力,我们成功绕过了该变种样本的反沙箱检测手段,并引导样本进一步执行以触发其恶意行为。阅读更多
伪随机数问题浅析 技术报告伪随机数, 漏洞模式 2023年11月16日2023年11月17日 本文通过分析CVE-2022-35890和CVE-2023-42820两个漏洞带大家深入浅出伪随机数问题,以及如何安全使用随机函数。阅读更多
Windows内核竞态条件漏洞研究 技术报告Windows内核, 漏洞模式 2023年11月16日2023年11月17日 本文主要分析研究了近年来披露的Windows内核及驱动程序中的竞态条件漏洞。阅读更多
Microsoft Hyper-V 虚拟 TPM 设备漏洞分析 技术报告Hyper-V, Microsoft 2023年11月15日2023年11月17日 CVE-2023-36717和CVE-2023-36718漏洞分析。阅读更多
【天问】NuGet生态发现万圣节恶搞(恶意)包 技术报告NuGet, 恶意软件 2023年10月31日2024年1月15日 今日,奇安信技术研究院“天问”软件供应链安全监测平台监测到NuGet生态中有用户发布了包含自动执行脚本的包 Danger.ScriptExec-Vulnerable。我们通过平台对该包进行了动态行为分析,发现在安装该包的时候存在使用无痕浏览打开网页以及无限弹窗的情况。结合静态代码分析,我们认为该包仅仅是为了万圣节恶搞而发布,不存在其他恶意行为。阅读更多
【天穹】CobaltStrike魔改新招:针对配置数据的反检测手段 技术报告Beacon, CobaltStrike, 恶意代码, 沙箱, 魔改 2023年10月30日2024年1月15日 近日,天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本,该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时,天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配,但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后,可以初步确定该样本加载了经过深度魔改的Beacon。阅读更多
【天问】PyPI 2023年Q3恶意包回顾(二) 技术报告Python, 恶意代码分析 2023年10月20日2024年1月15日 2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中,我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测,其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升,给供应链安全带来了巨大的挑战。阅读更多
【天问】PyPI 2023年Q3恶意包回顾(一) 技术报告Python, 恶意代码分析 2023年10月17日2024年1月15日 2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等敏感信息。分析表明,攻击者会不断迭代更新他们的工具来规避安全检测,这给供应链安全带来了巨大的挑战。阅读更多