

【天穹】HVV专题：典型HVV样本总结与IOC收集（第五期）

奇安信技术研究院

2025-07-24

导读：网络安全攻防演练进行至第三周末期，天穹团队持续推进样本分析工作。

一、概述

网络安全攻防演练进行至第三周末期，天穹团队持续推进样本分析工作，结合多维检测引擎与攻击链建模技术，形成以下核心观察结论：

恶意样本传播呈现阶梯式递减态势

平台监测数据显示，攻击流量曲线于第三阶段中期形成稳定拐点，日均恶意样本捕获量较首周下降 20%。
值得关注的是，银狐（SilverFox）APT 组织变种样本呈现线性增长，周环比增幅达 80%。

攻击技法呈现典型木马特征

“白利用”（White+Black）混合攻击架构的日均投递量维持高位稳定。
载荷分离加密技术已成为标准化攻击手段。

攻击目标呈现高度行业定向性

金融基础设施、能源系统、政务云平台、航空等战略领域成为重点攻击对象，攻击行为具备深度行业特性的定制化技术特征。

天穹沙箱温馨提示： 若您收到可疑链接或文件，切勿直接点击或运行！可优先投递至奇安信天穹沙箱进行风险鉴定，通过专业的动态行为检测与威胁情报匹配，精准识别潜在安全风险。使用天穹沙箱过程中，如您遇到任何问题（如样本投递失败、分析结果存疑等），可随时联系我们，我们将第一时间为您提供技术支持与解答。

二、典型样本分析

1、压缩包

1.1 样本一

样本名：XXXX国际机场核心区互动项目招标结果异议.7z
SHA1：7044126bdff30f08e2d2b3e10234b8cbdb85c83d
文件类型：7Z
样本家族：CobaltStrike
C2：

https[:]//47.112.100.51:8080/res/js/jquery-3.6.2.slim.min.js

报告链接：https://sandbox.qianxin-inc.cn/tq/report/toViewReport.do?rid=908435d4a869bb957a11c03cda6cb904&index=1&sk=39393483

描述：该攻击采用定向投送的压缩包作为初始渗透载体，其文件名经过精心构造以匹配目标特征，包体内嵌的 PE 可执行文件伪装为 Word 文档图标，具备显著的用户迷惑性。样本实施了多维度、高隐蔽性的反调试与反沙箱检测机制：

调试器检测
：通过 IsDebuggerPresent 函数验证调试器存在性，并调用 CheckRemoteDebuggerPresent API 实施远程调试环境交叉验证；利用 GetSystemMetrics(SM_REMOTESESSION) 检测是否处于远程桌面会话，以此规避沙箱分析。
硬件特征校验
：实施 CPU 核心数检测（要求 ≥ 4 核），过滤低端计算环境。
社会工程迷惑
：在检测阶段弹出伪造的系统错误对话框，显示“文件已损坏”以迷惑用户。

当所有检测通过后，样本将解密第一层 Shellcode，通过 WinHttpSetStatusCallback 接口隐蔽回调执行载荷。该 Shellcode 的核心功能为：动态解析 C2 地址https[:]//47.112.100.51/res/js/jquery-3.6.2.slim.min.js，通过 WinHTTP API 实现无文件化载荷投送，最终在内存中执行下一阶段攻击模块。整个攻击链体现了 HVV 样本的典型特征，包括定向投送、多层级环境感知、社会工程学欺骗及无文件化执行等先进技术组合。

威胁配置信息

图1 CobaltStrike威胁配置信息

1.2 样本二

样本名：XXXXXX能源发展有限公司XXX水力发电厂相关项目工程XX…摄像宣传制作服务项目异议反馈.rar
SHA1：e4370170e106b5580a558abe81d301ece1fd53b3
文件类型：RAR
样本家族：CobaltStrike
C2：

https[:]//123.207.158.219:443/center/user_sidhttps[:]//43.143.204.191:443/center/user_sid

报告链接：https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=a7c5b973d44b01939bd63a0064ae4303&index=2&sk=88537206)

描述：该恶意样本采用多阶段侧加载（Side-Loading）技术构建复杂攻击链，其技术架构与第四期典型样本二呈现显著同源性，但在实现手法上实现了策略性升级。样本首先通过动态加载机制注入基于 Go 语言编译的伪造系统 DLL 模块（libglib-2.0-0.dll），攻击流程呈现两层嵌套结构：

Shellcode 通信阶段：载荷解密后建立加密通信通道，主动连接 C2 服务器https[:]//123.207.158.219/center/user_sid，实施分阶段载荷投送。
白加黑组合攻击：下载经过数字签名伪装的合法程序 jinfo.exe 作为载体，配合恶意 DLL（jli.dll）形成二次侧加载组合，最终在内存中构建完整攻击组件。

该样本在战术层面展现三大进化特征：

对抗性增强：采用 Go 语言编译的 DLL 模块具备更强的反逆向能力，配合动态加载机制有效对抗基于特征码的检测。
隐蔽性升级：通过“白程序 + 黑 DLL”的组合投送模式，完美规避应用程序控制类安全产品的拦截。
持久化优化：攻击链各阶段均采用无文件化执行技术，结合侧加载的合法进程托管机制，显著降低行为检测系统的识别概率。

威胁配置信息

图2 CobaltStrike威胁配置信息

1.3 样本三

样本名：XXXX旅游公司（人员名单）.zip
SHA1：cbf4db3adda8ea0aba615f31a44001709d726429
文件类型：ZIP
样本家族：CobaltStrike
C2：

http://139.9.91.122:8011/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js

报告链接：https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=5391a051663abe0f6d57a25da0692579&index=1&sk=51923508

描述：攻击者精心构建社会工程攻击链：通过伪造旅游企业品牌标识的压缩包作为攻击载体，利用用户对企业的信任心理实施初始渗透。当受害者解压并执行伪装程序后，攻击模块会执行双重迷惑操作——表面释放与压缩包同名的正规 Word 文档并自动打开，制造“文件正常”的虚假表象；暗中则通过隐蔽进程与指定 C2 服务器http[:]//139.9.91.122/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js建立连接，动态加载下一阶段恶意载荷。
该攻击框架采用无文件落盘技术，通过反射式 DLL 注入实现内存代码执行，有效规避传统杀毒软件的静态扫描检测。同时建立基于 HTTP 协议的双向通信信道，既用于接收 C2 指令，也作为持久化控制的后门通道。整个攻击过程融合了社会工程学欺骗、内存驻留等多重高级威胁技术，形成从初始访问到权限维持的完整攻击闭环。
威胁配置信息

图3 CobaltStrike威胁配置信息

1.4 样本四

样本名：all.zip
SHA1：94fb4c156797e37c8a4abd1a0a95b9edd48c2ad1
文件类型：ZIP
样本家族：银狐
C2：

154.94.232.120

报告链接：https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=d1af23e9dac1ee9875a2187295e7982a&index=1&sk=20185117

描述：在 HVV 行动期间，天穹沙箱监测到银狐木马家族变种攻击活动。该样本采用特洛伊木马式攻击架构，通过 DLL 侧加载技术实现初始载荷的隐蔽执行，延续了该家族“进程空壳化 + 动态加载”的核心战术。通过内存级代码注入技术将恶意模块植入 explorer.exe 进程空间，形成无文件化攻击特征。

2、其他类型

2.1 样本一

样本名：loader——64.exe
SHA1：d660489d93fbf5c4c171d3069f279eacbb190f41
文件类型：EXE
样本家族：CobaltStrike
C2：

https[:]//180.163.146.82/webwx/res/json3.min.jshttps[:]//171.43.169.235/webwx/res/json3.min.jshttps[:]//61.160.192.70/webwx/res/json3.min.jshttps[:]//118.112.10.112/webwx/res/json3.min.jshttps[:]//122.226.64.103/webwx/res/json3.min.js