灰黑产

【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)

转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,给大家分享我们的新发现。除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。
阅读更多

【天穹】HVV专题:典型HVV样本总结与IOC收集(第一期)

近期,HVV行动进行地如火如荼,奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析,后台同步开展人工研判样本分析结果,全力保障用户安全。本文整理了近期较为典型的HVV样本,其传播方式仍以钓鱼为主,通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击,样本家族仍以`CobaltStrike`居多,同时也出现了许多红队自写C2框架,在C2通信协议上,样本广泛使用`云函数`和`国内云服务器IP`作为C2地址,并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。
阅读更多

【天穹】HVV专题:火眼金睛-伪装为灰黑产软件的反沙箱木马

近期HVV行动,天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中,发现一个钓鱼样本被大量用户重复投递,这一高频率出现的样本岂能逃过分析人员的火眼金睛?本次分享,就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”,从名称来看,这是一个灰黑产相关的软件,初步判断它是典型的HVV样本。对压缩包解压处理,得到一个命名为身份证正反生成.exe的可疑执行文件,以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容,文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析,我们发现它实际是一个CobaltStrike 木马,该样本同时具有反沙箱特征,成功规避了多家友商沙箱检测,这也激起了我们的好奇心,决定一探究竟。
阅读更多

【天穹】HVV专题:谁是”李鬼”-银狐组织的攻击活动分析

近日,天穹沙箱团队捕获了一个名为“查找.exe”的样本,经过初步分析,因其采用了阿里云CDN分发流量,恰逢国内HVV行动期间,很容易被误判为典型的HVV攻击样本。然而,经过深度剖析,我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马,专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例,向大家展示如何利用天穹沙箱开展自动化样本分析,如何理解天穹沙箱的分析结果报告。
阅读更多