【天穹】Linux后门Xnote家族的新变种:FZX 技术报告Linux, Xnote家族, 后门, 天穹沙箱, 新变种FZX 2024年8月15日2024年8月15日 近日,天穹沙箱团队捕获了一个名为“top.386-32.elf”的样本,经过初步分析,该样本是一个具有感染性的后门,其采用了53端口与C2通信。该样本是2024年8月1日出现的新型样本家族,因其多处用到“FZX”字符串,故将其定为“FZX家族”。该家族目前还在不停的迭代更新。本次我们以该样本为案例,向大家展示如何结合天穹沙箱来分析样本,如何理解天穹沙箱的分析结果报告。阅读更多
【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期) 技术报告CobaltStrike, 侧加载, 沙箱, 灰黑产, 钓鱼 2024年8月8日2024年8月8日 转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,给大家分享我们的新发现。除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。阅读更多
【天穹】HVV专题:典型HVV样本总结与IOC收集(第一期) 技术报告CobaltStrike, 侧加载, 护网, 灰黑产, 钓鱼 2024年8月1日2024年8月1日 近期,HVV行动进行地如火如荼,奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析,后台同步开展人工研判样本分析结果,全力保障用户安全。本文整理了近期较为典型的HVV样本,其传播方式仍以钓鱼为主,通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击,样本家族仍以`CobaltStrike`居多,同时也出现了许多红队自写C2框架,在C2通信协议上,样本广泛使用`云函数`和`国内云服务器IP`作为C2地址,并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。阅读更多
Git出乎意料的攻击面 技术报告Git, RCE, 漏洞分析 2024年8月1日2024年8月1日 作为常用的客户端代码管理工具,Git广泛应用于项目管理。然而,小巧的软件中也潜藏远程代码执行的风险。本文将分析Git的工作原理和攻击面,揭示其潜在的安全问题。阅读更多
JDBC Attack与高版本JDK下的JNDI Bypass 技术报告JNDI注入 2024年7月30日2024年7月30日 JNDI 注入作为 Java 攻击的常见 Sink 点,通常被用于 Weblogic 以及 Fastjson 等常见目标的攻击流程中,而 JNDI 注入的利用经过 JDK 新版本对相关利用的修复,以及一些常见依赖利用方式的变化,在高版本 JDK 中,其利用逐渐遭遇了困境。而 JDBC Attack,作为针对 Java 数据库引擎的一种攻击方式,除了其常规的利用方式之外,也可以与原生反序列化结合起来,实现对 JNDI 攻击的扩展,解决高版本下 JNDI 注入的困境。阅读更多
【天穹】HVV专题:火眼金睛-伪装为灰黑产软件的反沙箱木马 技术报告CobaltStrike, 反沙箱, 护网, 灰黑产, 钓鱼 2024年7月29日2024年7月29日 近期HVV行动,天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中,发现一个钓鱼样本被大量用户重复投递,这一高频率出现的样本岂能逃过分析人员的火眼金睛?本次分享,就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”,从名称来看,这是一个灰黑产相关的软件,初步判断它是典型的HVV样本。对压缩包解压处理,得到一个命名为身份证正反生成.exe的可疑执行文件,以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容,文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析,我们发现它实际是一个CobaltStrike 木马,该样本同时具有反沙箱特征,成功规避了多家友商沙箱检测,这也激起了我们的好奇心,决定一探究竟。阅读更多
Rust逆向入门:从反编译视角学习内存模型 技术报告Rust, 反编译, 逆向入门 2024年7月25日2024年7月25日 本文旨在学习Rust基本内存数据结构及其内存布局,并且通过反编译视角理解Rust编译器到底做了什么事。阅读更多
【天穹】HVV专题:谁是”李鬼”-银狐组织的攻击活动分析 技术报告反沙箱, 沙箱, 灰黑产, 银狐 2024年7月17日2024年7月29日 近日,天穹沙箱团队捕获了一个名为“查找.exe”的样本,经过初步分析,因其采用了阿里云CDN分发流量,恰逢国内HVV行动期间,很容易被误判为典型的HVV攻击样本。然而,经过深度剖析,我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马,专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。阅读更多
Python Web内存马多框架植入技术详解 技术报告Python, 内存马 2024年7月12日 本文将针对Flask、Tornado与Django三个在日常开发中使用频率较高的框架,探寻在Python Web场景下的内存马种植方法,文中所有场景均为抽象出的理想场景,仅做可行性讨论。阅读更多
【天穹】双剑合璧:PowerShell反混淆 & 大模型解读 技术报告PowerShell, Windows, 人工智能, 代码解读, 反混淆, 大模型 2024年7月8日2024年7月8日 近年来,PowerShell频繁出现在各种网络攻击事件中,在高级持续攻击、勒索软件、网络钓鱼、加密劫持等攻击行为中都有利用到PowerShell。该脚本语言的动态特性使其能够轻易地被混淆处理,混淆手法之多使得脚本内容不仅能够绕过杀毒软件的检测查杀,也增加了恶意行为分析工作的难度。阅读更多