【天穹】多个变种!某知名游戏启动器遭银狐劫持
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
钓鱼
【天穹】HVV专题:暗藏玄机-揭秘Python在压缩包中的隐蔽攻击手法
在HVV行动中,红队的黑客们总是能想出不少脑洞大开的攻击套路。本次,我们将介绍近期发现的一种新型压缩包攻击手法,攻击者将完整的Python可执行程序封装于压缩包内,通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件,再打开一个文档文件掩盖后台的恶意行为。目前,天穹沙箱已经发现数个使用此攻击方式的钓鱼样本,在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招,因此我们结合天穹沙箱强大的压缩包分析功能,对此类攻击方式进行了更为深入细致地剖析。
【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)
转眼间,HVV行动已经进行两周了,奇安信天穹沙箱持续为用户提供数据安全保障。本期就分析人员对近两周用户提交HVV样本的分析总结,给大家分享我们的新发现。除分析典型样本外,我们还在文末附上了一批高价值HVV样本IOC福利,欢迎大家查阅。
【天穹】HVV专题:典型HVV样本总结与IOC收集(第一期)
近期,HVV行动进行地如火如荼,奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析,后台同步开展人工研判样本分析结果,全力保障用户安全。本文整理了近期较为典型的HVV样本,其传播方式仍以钓鱼为主,通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击,样本家族仍以`CobaltStrike`居多,同时也出现了许多红队自写C2框架,在C2通信协议上,样本广泛使用`云函数`和`国内云服务器IP`作为C2地址,并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。
【天穹】HVV专题:火眼金睛-伪装为灰黑产软件的反沙箱木马
近期HVV行动,天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中,发现一个钓鱼样本被大量用户重复投递,这一高频率出现的样本岂能逃过分析人员的火眼金睛?本次分享,就和大家一起一层一层地剥开它的心。样本名为“身份证正反生成.zip”,从名称来看,这是一个灰黑产相关的软件,初步判断它是典型的HVV样本。对压缩包解压处理,得到一个命名为身份证正反生成.exe的可疑执行文件,以及一个包含大量.pyd文件的 _internal 目录。初看解压后的内容,文件后缀名和目录格式这些特征极易误导分析人员认为这是一个PyInstaller打包的木马程序。但随着深入分析,我们发现它实际是一个CobaltStrike 木马,该样本同时具有反沙箱特征,成功规避了多家友商沙箱检测,这也激起了我们的好奇心,决定一探究竟。
【天穹】案例:通过钓鱼邮件传播的IcedID窃密软件
近日,天穹沙箱发现一个有趣的样本,通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件,其中密码存放在邮件正文中。解密后,压缩包内包含一个ISO文件,ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思,通过深度的层层伪装使其极具迷惑性,导致许多沙箱无法正确分析。然而,得益于天穹沙箱多维度的深度检测功能,通过对邮件、压缩包、可执行文件进行全面的分析,我们能够呈现该样本全面完整的攻击手段和过程。
【天穹】HVV案例:典型恶意样本攻击手法总结
网络攻防真人秀(H/W)已过去一周,奇安信技术研究院秉承“安全能力输出,实际行动支前”的理念,基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱,持续狩猎高价值样本并自动化分析和研判,为各位师傅们输出高水平分析报告。