2024年7月

JDBC Attack与高版本JDK下的JNDI Bypass

技术报告
JNDI 注入作为 Java 攻击的常见 Sink 点,通常被用于 Weblogic 以及 Fastjson 等常见目标的攻击流程中,而 JNDI 注入的利用经过 JDK 新版本对相关利用的修复,以及一些常见依赖利用方式的变化,在高版本 JDK 中,其利用逐渐遭遇了困境。而 JDBC Attack,作为针对 Java 数据库引擎的一种攻击方式,除了其常规的利用方式之外,也可以与原生反序列化结合起来,实现对 JNDI 攻击的扩展,解决高版本下 JNDI 注入的困境。
阅读更多

【天穹】HVV专题:火眼金睛-伪装为灰黑产软件的反沙箱木马

技术报告, , , ,
近期HVV行动,天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中,发现一个钓鱼样本被大量用户重复投递,这一高频率出现的样本岂能逃过分析人员的火眼金睛?本次分享,就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”,从名称来看,这是一个灰黑产相关的软件,初步判断它是典型的HVV样本。对压缩包解压处理,得到一个命名为身份证正反生成.exe的可疑执行文件,以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容,文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析,我们发现它实际是一个CobaltStrike 木马,该样本同时具有反沙箱特征,成功规避了多家友商沙箱检测,这也激起了我们的好奇心,决定一探究竟。
阅读更多

【天穹】HVV专题:谁是”李鬼”-银狐组织的攻击活动分析

技术报告, , ,
近日,天穹沙箱团队捕获了一个名为“查找.exe”的样本,经过初步分析,因其采用了阿里云CDN分发流量,恰逢国内HVV行动期间,很容易被误判为典型的HVV攻击样本。然而,经过深度剖析,我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马,专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。
阅读更多

【天穹】双剑合璧:PowerShell反混淆 & 大模型解读

技术报告, , , , ,
近年来,PowerShell频繁出现在各种网络攻击事件中,在高级持续攻击、勒索软件、网络钓鱼、加密劫持等攻击行为中都有利用到PowerShell。该脚本语言的动态特性使其能够轻易地被混淆处理,混淆手法之多使得脚本内容不仅能够绕过杀毒软件的检测查杀,也增加了恶意行为分析工作的难度。
阅读更多

macOS-XNU内核中FlowDivert协议漏洞分析

技术报告,
Flow Divert 协议在 macOS 中提供了强大的流量管理和重定向功能,广泛应用于 VPN 和其他高级网络控制场景。通过内核扩展和用户态守护进程的协同工作,Flow Divert 允许系统和应用程序动态管理网络流量,增强安全性、隐私保护和网络性能。本文旨在分析FlowDivert模块内出现的历史的漏洞以及引入的新代码所引发的漏洞存在。
阅读更多