技术报告

DataCon 晚自习：浅谈大模型辅助漏洞挖掘

技术报告DataCon, 大语言模型, 破壳平台 2024年11月20日2024年11月20日

本次 DataCon 要求参赛者结合大模型技术识别漏洞，本文从函数级别和代码库级别两个方面简要分析和梳理当前研究进展和发展方向。

Ivanti Avalanche WLAvanacheServer组件漏洞分析

技术报告Ivanti, 漏洞分析 2024年11月6日2024年11月6日

本文首先介绍了WLAvanacheServer的消息结构，然后借助消息发送脚本进行调试分析，主要分析漏洞的形成原因。总体来说，这些漏洞比较简单，之前没有被发现的原因是lvanti Avalanche的大部分漏洞挖掘都集中在web端，而忽视了 WLAvanacheServer这一新的攻击面。

V8堆沙箱绕过方法分析总结

技术报告Chrome, V8 2024年11月6日2024年11月6日

沙箱机制（Sandboxing）是一种安全技术，用来隔离运行中的应用程序或代码，使其在受限的环境中执行。这种机制的目的是限制应用程序或代码与系统资源（如文件系统、网络、硬件）的直接交互，从而防止恶意软件或不受信任的代码造成安全威胁或数据泄露。

正则表达式安全研究

技术报告 2024年11月6日2024年11月6日

本文主要讨论正则表达式引起的ReDoS拒绝服务，侧信道泄露，权限绕过，数据校验，回溯限制以及正则执行问题。

【天问】新型供应链攻击：利用以太坊智能合约隐蔽C2的npm恶意包分析

技术报告NodeJs, 恶意代码分析 2024年11月6日

2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂的恶意攻击向受害用户主机植入后门，并进行持续控制。

【论文分享】3篇研究成果在国际顶级会议ACM CCS 2024中宣讲报告

学术动态, 技术报告安全论文, 开源生态研究, 软件供应链安全 2024年10月23日2024年10月23日

在刚刚结束的网络安全国际顶级会议CCS (The ACM Conference on Computer and Communications Security) 2024中，星图实验室共有3篇学术论文在会议中进行了分享报告。

【天穹】GrimResource来袭！看天穹沙箱精准检出MSC样本

技术报告CobaltStrike, DLL劫持, GrimResource, MSC 2024年9月14日2024年9月14日

近期，天穹团队在日常狩猎活动中发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布，市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响，具备强大的样本分析能力，针对msc格式的文件也可以有效分析。接下来，我们结合天穹沙箱分析报告，深度剖析此类样本的攻击手法。

【天穹】多个变种！某知名游戏启动器遭银狐劫持

技术报告DLL劫持, 侧加载, 钓鱼, 银狐 2024年9月14日

近期，天穹沙箱分析人员在样本狩猎时发现，某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑，遭银狐黑产组织DLL劫持利用，并在互联网上广泛传播。天穹沙箱已捕获到多个变种，经分析，这些样本的攻击手法相似，且均利用了相同的白程序。接下来，我们选取一个典型样本，对其进行深度分析。

【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践

技术报告漏洞分析, 破壳平台 2024年8月30日2024年8月30日

本文从复现历史CVE中总结出通用的漏洞查询模式，在TOTOLINK中进行实践并挖掘出新的0day。

【天穹】天穹沙箱推出全新脚本执行追踪功能

技术报告Windows, 天穹沙箱, 脚本执行追踪 2024年8月27日2024年8月27日

在Windows环境中，脚本类型样本层出不穷，恶意软件样本中采用脚本语言编写的比例日渐攀升，利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题，天穹沙箱更新并引入了一项强大的脚本执行追踪功能，该功能可精准捕获脚本的执行过程，使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入，也助力安全人员的分析工作更为便捷高效。