【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)
转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,给大家分享我们的新发现。除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。
沙箱
【天穹】HVV专题:谁是”李鬼”-银狐组织的攻击活动分析
近日,天穹沙箱团队捕获了一个名为“查找.exe”的样本,经过初步分析,因其采用了阿里云CDN分发流量,恰逢国内HVV行动期间,很容易被误判为典型的HVV攻击样本。然而,经过深度剖析,我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马,专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。
【天穹】勒索病毒检测利器:勒索信提取功能上线
奇安信天穹沙箱近日上线了勒索信提取功能,该功能可有效识别和提取勒索病毒运行时所释放的勒索信,并通过分析勒索信内容进一步识别样本家族,为进一步守护用户资产安全保驾护航。
【天穹】Android 沙箱新版本来了
近日,天穹沙箱对Android分析系统进行了优化重构和系统升级,以满足Android系统版本的更新迭代和用户日益增长的分析需求。目前,新版本的Android分析系统已成功上线集成,用户可以立即体验。
深耕网络安全五年,研究成果惠及大众
在近期举办的InForSec 2023学术年会上,奇安信技术研究院发布了“破壳”在线漏洞挖掘平台和“天穹”动态分析沙箱两款免费的、面向大众使用的社区版工具。这是技术研究院成立5年来首次将研究工作通过工程化、社区化的方式向大众开放,也是沟通网络空间安全领域学术界和工业界、相互促进发展的一次尝试与突破。
【天穹】窃密家族:LummaC2携新型反沙箱技术归来
近期,天穹沙箱监测到LummaC2家族的新型变种样本活动。经过天穹沙箱和人工分析,我们发现该变种样本采用了一种新颖的反沙箱技术,以规避动态分析。然而,借助天穹沙箱强大的模拟仿真交互能力,我们成功绕过了该变种样本的反沙箱检测手段,并引导样本进一步执行以触发其恶意行为。
【天穹】CobaltStrike魔改新招:针对配置数据的反检测手段
近日,天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本,该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时,天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配,但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后,可以初步确定该样本加载了经过深度魔改的Beacon。
【天穹】案例:通过钓鱼邮件传播的IcedID窃密软件
近日,天穹沙箱发现一个有趣的样本,通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件,其中密码存放在邮件正文中。解密后,压缩包内包含一个ISO文件,ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思,通过深度的层层伪装使其极具迷惑性,导致许多沙箱无法正确分析。然而,得益于天穹沙箱多维度的深度检测功能,通过对邮件、压缩包、可执行文件进行全面的分析,我们能够呈现该样本全面完整的攻击手段和过程。
【天穹】HVV案例:典型恶意样本攻击手法总结
网络攻防真人秀(H/W)已过去一周,奇安信技术研究院秉承“安全能力输出,实际行动支前”的理念,基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱,持续狩猎高价值样本并自动化分析和研判,为各位师傅们输出高水平分析报告。