正则表达式安全研究
本文主要讨论正则表达式引起的ReDoS拒绝服务,侧信道泄露,权限绕过,数据校验,回溯限制以及正则执行问题。
技术报告
【天问】新型供应链攻击:利用以太坊智能合约隐蔽C2的npm恶意包分析
2024年10月31日至11月3日期间,天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中,攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽,并且通过多阶段复杂的恶意攻击向受害用户主机植入后门,并进行持续控制。
【论文分享】3篇研究成果在国际顶级会议ACM CCS 2024中宣讲报告
在刚刚结束的网络安全国际顶级会议CCS (The ACM Conference on Computer and Communications Security) 2024中,星图实验室共有3篇学术论文在会议中进行了分享报告。
【天穹】GrimResource来袭!看天穹沙箱精准检出MSC样本
近期,天穹团队在日常狩猎活动中发现了一个MSC格式的样本,该样本利用了一种被称为GrimResource的攻击技术,当用户点击样本后,就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布,市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响,具备强大的样本分析能力,针对msc格式的文件也可以有效分析。接下来,我们结合天穹沙箱分析报告,深度剖析此类样本的攻击手法。
【天穹】多个变种!某知名游戏启动器遭银狐劫持
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
【破壳之路】从CVE复现到TOTOLINK新0day挖掘实践
本文从复现历史CVE中总结出通用的漏洞查询模式,在TOTOLINK中进行实践并挖掘出新的0day。
【天穹】天穹沙箱推出全新脚本执行追踪功能
在Windows环境中,脚本类型样本层出不穷,恶意软件样本中采用脚本语言编写的比例日渐攀升,利用混淆技术加固自身的脚本样本更是难以分析。为缓解这一难题,天穹沙箱更新并引入了一项强大的脚本执行追踪功能,该功能可精准捕获脚本的执行过程,使沙箱在分析过程中能够更全面地检出恶意脚本样本。这一技术的引入,也助力安全人员的分析工作更为便捷高效。
深入解析Windows VTL机制 & IUM进程
本文深入探讨了Windows平台虚拟化层中的VTL机制和IUM进程的内部细节,同时介绍了Intel Vt-x虚拟化技术的核心特点,文章末尾还提供了一种在用户态调试IUM进程的技术方法。
【天问】TEA: NPM生态再度陷入垃圾软件包困境
在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。
【破壳之路】破壳平台多粒度漏洞查询实践
本文为破壳平台的教学系列《破壳之路》的开篇之作,主要是讲解了在面对不同的分析对象时,如何通过编写查询语句,快速完成漏洞筛查。