护网

近期，HVV行动进行地如火如荼，奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析，后台同步开展人工研判样本分析结果，全力保障用户安全。本文整理了近期较为典型的HVV样本，其传播方式仍以钓鱼为主，通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击，样本家族仍以`CobaltStrike`居多，同时也出现了许多红队自写C2框架，在C2通信协议上，样本广泛使用`云函数`和`国内云服务器IP`作为C2地址，并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。

近期HVV行动，天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中，发现一个钓鱼样本被大量用户重复投递，这一高频率出现的样本岂能逃过分析人员的火眼金睛？本次分享，就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”，从名称来看，这是一个灰黑产相关的软件，初步判断它是典型的HVV样本。对压缩包解压处理，得到一个命名为身份证正反生成.exe的可疑执行文件，以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容，文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析，我们发现它实际是一个CobaltStrike 木马，该样本同时具有反沙箱特征，成功规避了多家友商沙箱检测，这也激起了我们的好奇心，决定一探究竟。