【天穹】CobaltStrike魔改新招:针对配置数据的反检测手段
近日,天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本,该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时,天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配,但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后,可以初步确定该样本加载了经过深度魔改的Beacon。
技术报告
【天问】PyPI 2023年Q3恶意包回顾(二)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中,我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测,其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升,给供应链安全带来了巨大的挑战。
【天问】PyPI 2023年Q3恶意包回顾(一)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等敏感信息。分析表明,攻击者会不断迭代更新他们的工具来规避安全检测,这给供应链安全带来了巨大的挑战。
【天问】curl漏洞影响分析,天问专查工具帮你!
2023年10月11日,curl官方发布了一篇关于curl项目的安全警告,报告指出curl组件存在SOCKS5缓冲区溢出漏洞(CVE-2023-38546)。奇安信技术研究院“天问”软件供应链安全监测平台通过对历史数据进行测绘,发现大量的桌面软件、安卓应用和设备固件使用了curl组件的漏洞版本,同时发现开源生态中的组件也存在直接引用系统中libcurl的情况。对此”天问“平台推出了专用检测工具供用户自查。
【天问】libwebp满分漏洞?天问助力影响分析!
近日,谷歌和苹果相继针对自身产品发布漏洞修复建议,这些漏洞被指出是由libwebp组件的基础漏洞引发的。由于该漏洞使用范围广,涉及软件众多,目前仍存在大量尚未修复的软件。“天问”软件供应链安全监测平台通过对历史数据进行测绘,通过对历史数据进行测绘,发现大量的桌面软件、安卓应用、设备固件广泛使用了libwebp的组件,均为该满分漏洞的潜在受害者。
【天问】npm生态针对angular和react进行的大规模typosquat攻击
2023年9月26日,奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间,累积上传了821个恶意npm包,其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。
【天穹】案例:通过钓鱼邮件传播的IcedID窃密软件
近日,天穹沙箱发现一个有趣的样本,通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件,其中密码存放在邮件正文中。解密后,压缩包内包含一个ISO文件,ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思,通过深度的层层伪装使其极具迷惑性,导致许多沙箱无法正确分析。然而,得益于天穹沙箱多维度的深度检测功能,通过对邮件、压缩包、可执行文件进行全面的分析,我们能够呈现该样本全面完整的攻击手段和过程。
【天问】NuGet恶意代码自动执行原理解析
本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码,探究其使用.NET Compiler Platform(“Roslyn”)SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。
【天穹】HVV案例:典型恶意样本攻击手法总结
网络攻防真人秀(H/W)已过去一周,奇安信技术研究院秉承“安全能力输出,实际行动支前”的理念,基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱,持续狩猎高价值样本并自动化分析和研判,为各位师傅们输出高水平分析报告。
【天问】2022年PyPI恶意包年度回顾
2022年,天问Python供应链威胁监测模块共捕捉到22,076个恶意包,对于分析确认的恶意包我们第一时间反馈PyPI官方,通知维护者将这些包删除。根据恶意包的攻击行为,我们将其归为四类:信息窃取类,Discord webhook类,恶意脚本下载执行类和typosquatting类。