【天穹】多个变种!某知名游戏启动器遭银狐劫持
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
技术报告
【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践
本文从复现历史CVE中总结出通用的漏洞查询模式,在TOTOLINK中进行实践并挖掘出新的0day。
【天穹】天穹沙箱推出全新脚本执行追踪功能
在Windows环境中,脚本类型样本层出不穷,恶意软件样本中采用脚本语言编写的比例日渐攀升,利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题,天穹沙箱更新并引入了一项强大的脚本执行追踪功能,该功能可精准捕获脚本的执行过程,使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入,也助力安全人员的分析工作更为便捷高效。
深入解析Windows VTL机制 & IUM进程
本文深入探讨了Windows平台虚拟化层中的VTL机制和IUM进程的内部细节,同时介绍了Intel Vt-x虚拟化技术的核心特点,文章末尾还提供了一种在用户态调试IUM进程的技术方法。
【天问】TEA: NPM生态再度陷入垃圾软件包困境
在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。
【破壳之路】破壳平台多粒度漏洞查询实践
本文为破壳平台的教学系列《破壳之路》的开篇之作,主要是讲解了在面对不同的分析对象时,如何通过编写查询语句,快速完成漏洞筛查。
Scala代码审计之痛 — Scala与Java的爱恨情仇
本文阐释了Scala源程序反编译后一些特殊中间变量的含义,并通过曾被披露的Scala程序漏洞向读者揭秘Scala漏洞挖掘。
【天穹】MacOS窃密样本:AMOS家族新变种
近日,天穹沙箱在进行日常样本狩猎时注意到一个特殊的MacOS样本。经过天穹沙箱动态分析和人工校验,确定该样本为`Atomic Stealer`家族,与历史版本不同的是,该样本首次采用了base64编码的osascript下载恶意载荷,因此进一步确定该样本为`Atomic Stealer`家族新变种。Atomic Stealer (AMOS) 是专门针对MacOS系统开发的信息窃取恶意软件,于2023年4月首次被发现,此后出现多个变种,某些变种通过`.dmg`软件包进行传播,一旦安装,它将立即开始搜集系统敏感信息并发送给远程服务器。我们此次分析的就是`.dmg`软件包类型的窃密样本,以下利用天穹沙箱的自动化分析能力,对该样本的具体行径进行深入分析。
【天穹】HVV专题:暗藏玄机-揭秘Python在压缩包中的隐蔽攻击手法
在HVV行动中,红队的黑客们总是能想出不少脑洞大开的攻击套路。本次,我们将介绍近期发现的一种新型压缩包攻击手法,攻击者将完整的Python可执行程序封装于压缩包内,通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件,再打开一个文档文件掩盖后台的恶意行为。目前,天穹沙箱已经发现数个使用此攻击方式的钓鱼样本,在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招,因此我们结合天穹沙箱强大的压缩包分析功能,对此类攻击方式进行了更为深入细致地剖析。
【天穹】Linux后门Xnote家族的新变种:FZX
近日,天穹沙箱团队捕获了一个名为“top.386-32.elf”的样本,经过初步分析,该样本是一个具有感染性的后门,其采用了53端口与C2通信。该样本是2024年8月1日出现的新型样本家族,因其多处用到“FZX”字符串,故将其定为“FZX家族”。该家族目前还在不停的迭代更新。本次我们以该样本为案例,向大家展示如何结合天穹沙箱来分析样本,如何理解天穹沙箱的分析结果报告。