【天穹】银狐攻击新动向:伪装为GPT安装器的隐秘木马
近期,天穹沙箱分析人员在公网样本狩猎时发现一个高危样本,该样本将自身伪装为ChormeGPT_install.exe安装包,诱导用户点击执行,在安装过程中完成C2通信和持久化注册。对样本溯源后发现,有多个样本访问了相同的C2地址,并且都是以安装包的形式存在。根据攻击手法判断,这些样本均来源于银狐组织。由于这批样本中引入了一些与之前不同的攻击手段,下面我们将对该样本进行深度分析。
DLL劫持
【天穹】某知名游戏启动器竟再遭勒索软件劫持!
在天穹团队之前发布的一篇文章《【天穹】多个变种!某知名游戏启动器遭银狐劫持》中曾提到,某知名游戏厂商的启动器`StarRail.exe`存在DLL劫持风险,并提醒读者务必保持警惕。就在9月份,该启动器再次遭到攻击者的劫持利用。不过这次的利用主体不是银狐,而是一个勒索软件团伙。由于该勒索软件会在加密后的文件名尾部追加`.k`后缀,因此被命名为`Kransom`。进一步分析发现,攻击者意图似乎不在于谋财,更可能是希望以这种方式损害该游戏公司的名誉或纯粹用于炫技。
【天穹】GrimResource来袭!看天穹沙箱精准检出MSC样本
近期,天穹团队在日常狩猎活动中发现了一个MSC格式的样本,该样本利用了一种被称为GrimResource的攻击技术,当用户点击样本后,就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布,市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响,具备强大的样本分析能力,针对msc格式的文件也可以有效分析。接下来,我们结合天穹沙箱分析报告,深度剖析此类样本的攻击手法。
【天穹】GrimResource来袭!看天穹沙箱精准检出MSC样本
近期,天穹团队在日常狩猎活动中发现了一个MSC格式的样本,该样本利用了一种被称为GrimResource的攻击技术,当用户点击样本后,就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布,市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响,具备强大的样本分析能力,针对msc格式的文件也可以有效分析。接下来,我们结合天穹沙箱分析报告,深度剖析此类样本的攻击手法。
【天穹】多个变种!某知名游戏启动器遭银狐劫持
近期,天穹沙箱分析人员在样本狩猎时发现,某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑,遭银狐黑产组织DLL劫持利用,并在互联网上广泛传播。天穹沙箱已捕获到多个变种,经分析,这些样本的攻击手法相似,且均利用了相同的白程序。接下来,我们选取一个典型样本,对其进行深度分析。
【天穹】DLL侧加载检测功能上线
DLL侧加载是一种利用Windows DLL加载机制,将恶意DLL伪装成合法DLL放置在DLL搜索路径上,由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任,使得DLL的恶意行为不会触发告警,绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如,输入法软件需要将自己的DLL注入到其他软件的内存中,防护软件显然不能将输入法标识为病毒,为了实现这一点,防护软件会检测输入法的签名信息,如果具备合法签名,则不予告警。黑客利用DLL侧加载机制,让受信任软件主动加载执行恶意代码,相比于主动注入,不需要调用VirtualAllocEx这类敏感API,被防护软件告警的几率也更低。
【天穹】DLL侧加载检测功能上线
DLL侧加载是一种利用Windows DLL加载机制,将恶意DLL伪装成合法DLL放置在DLL搜索路径上,由合法程序自动加载后实施恶意行为的攻击技术。这种攻击技术利用了防护软件对合法进程的信任,使得DLL的恶意行为不会触发告警,绕过了防护软件的检测。这种信任机制对降低误报起到重要作用。例如,输入法软件需要将自己的DLL注入到其他软件的内存中,防护软件显然不能将输入法标识为病毒,为了实现这一点,防护软件会检测输入法的签名信息,如果具备合法签名,则不予告警。黑客利用DLL侧加载机制,让受信任软件主动加载执行恶意代码,相比于主动注入,不需要调用VirtualAllocEx这类敏感API,被防护软件告警的几率也更低。