大数跨境
首页
>
【天穹】HVV专题:典型HVV样本总结与IOC收集(第三期)
>
0
0

【天穹】HVV专题:典型HVV样本总结与IOC收集(第三期)

【天穹】HVV专题:典型HVV样本总结与IOC收集(第三期) 奇安信技术研究院
2025-07-16
0
导读:在网络安全攻防演练第二周临近结束之际,天穹团队聚焦关键样本深度剖析,进一步整合多源检测结果与攻击链关联分析技术

一、概述


在网络安全攻防演练第二周临近结束之际,天穹团队聚焦关键样本深度剖析,进一步整合多源检测结果与攻击链关联分析技术,提炼出以下核心观测结论:

  • 攻击流量延续增长态势

    • 平台捕获的恶意样本数量持续保持高位增长,攻击流量呈现显著的线性上升趋势。

  • 攻击技法呈现多维进化特征

    • “白利用”(White + Black)攻击模式应用率显著提升,针对合法程序的二进制逆向开发投入持续加大;
    • 多语言协同攻击体系日趋成熟,形成脚本语言与编译型语言的复合攻击矩阵;
    • 沙箱逃逸技术持续突破,恶意样本对虚拟化环境的检测识别能力实现代际升级。

  • 攻击目标呈现精准化行业聚焦

    • 金融、能源、政务三大战略领域成为核心攻击标靶,攻击行为展现出明显的行业定制化特征。

天穹沙箱温馨提示: 若您收到可疑链接或文件,切勿直接点击或运行!可优先投递至奇安信天穹沙箱进行风险鉴定,通过专业的动态行为检测与威胁情报匹配,精准识别潜在安全风险。使用天穹沙箱过程中,如您遇到任何问题(如样本投递失败、分析结果存疑等),可随时联系我们,我们将第一时间为您提供技术支持与解答。

二、典型样本分析


1、压缩包

1.1 样本一

  • 样本名:7月客户拓展餐费报销.zip

  • SHA1:fe0987b533968a93349bec9d9b9049b0680503bd

  • 文件类型:ZIP

  • 样本家族:CobaltStrike

  • C2:

http[:]//159.75.189.195:8088/omp/api/get_page_config
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=6fbef3eefdb829293d72ad09f77905ec&index=1&sk=71927928)

  • 描述:该恶意样本呈现出典型的 HVV 定向攻击特征,与上期分析的第一例典型样本存在明确技术同源性,完全继承其初始化加载阶段的技术框架,但防御规避机制已实现关键性升级,标志着当前 HVV 攻防博弈正进入深度演进阶段。值得重点关注的是,该样本构建了新型对抗技术体系:

    • 加密载荷架构保持技术延续性,但 C2 通信机制完成战略调整,通信端口由 8088 迁移至 8087,实现流量特征差异化。
    • 核心载荷模块 360update.exe 系基于 360 安全产品组件 360netmgr64.exe 实施深度技术重构,将安全组件改造为攻击载荷容器,形成“合法外壳 + 恶意内核”的混合架构。

  • 威胁配置信息

    配置截图1
    图1 CobaltStrike威胁配置信息

1.2 样本二

  • 样本名:基地流动机械库门头安全隐患整治方案.zip

  • SHA1:7517585f6815fab9fe45778e42e8cafcb4dedba8

  • 文件类型:ZIP

  • 样本家族:CobaltStrike

  • C2:

伪装URLhttps[:]//oss-cn-shenzhen-internal.aliyuncs.com/connecttest.txt真实URLhttps[:]//36.99.86.14/connecttest.txt
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=a311cd848a3f78bf82ca79b566b45260&index=1&sk=81082224)

  • 描述:该钓鱼样本的构造方式具有典型的攻击特征,其技术实现路径为:攻击者采用压缩包载体封装 PE 可执行文件,通过伪造具有迷惑性的文件名实施社会工程学欺骗,最终构建出一条基于文件伪装技术的简易攻击链,具体攻击链设计如下:

    • 白名单进程劫持:基于 javaw.exe 合法程序进行二进制定制开发,通过篡改 __security_init_cookie 入口点函数实现控制流劫持。劫持代码动态解密执行 Shellcode,规避静态特征检测。

    • 环境检测 :执行前验证用户目录结构,检查 %HOMEPATH%\Downloads 及桌面目录的子目录数量是否超过 1 个,环境不匹配则自动终止,体现攻击者对目标系统的针对性适配。

    • 隐蔽载荷部署:自我复制到 %APPDATA%\update\check.exe 并解密下一代载荷至代码段区域,二代载荷与初始样本架构同源,通过差异化变量初始化实现逻辑分支控制,如图 2 和图 3 所示。

    • 持久化控制:释放 check.lnk 快捷方式至系统启动目录,构建重启后自动激活的持久化通道。

第三期代码比较1
图2 原始样本代码截图
第三期代码比较2
图3 释放样本代码截图

1.3 样本三

  • 样本名:发票2025060761735425.zip

  • SHA1:9d7c57abec73861a700bb2d5fea4f89939c196a6

  • 文件类型:ZIP

  • 样本家族:CobaltStrike

  • C2:

伪装URL:https[:]//linshiroot.com/statics/web_v5/images/img04.png真实URL:https[:]//220.181.167.250/statics/web_v5/images/img04.png
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=cd133601c1cf641fc60b771a0afd9104&index=1&sk=49966418)

  • 描述:该攻击样本在技术演进层面呈现出显著的迭代特征,相较于传统 HVV 攻击框架实现了多维度的能力升级:

    • 复合型攻击架构:采用 LNK 快捷方式与 Python 脚本的跨语言协作机制,构建出具备动态规避能力的混合攻击载荷;通过脚本语言与二进制执行的深度融合,有效突破基于单一语言特征的静态检测规则。

    • 高仿真载荷投送:释放经过双重伪装的 “wps.pdf” 文档作为社会工程学诱饵,利用知名办公软件的信任背书降低用户警惕性。

    • 全链路隐蔽通信:网络通信模块采用 HOST 头域伪装技术,模拟合法域名的流量特征实现网络层隐身。

  • 威胁配置信息

配置截图1
图4 CobaltStrike威胁配置信息

1.4 样本四

  • 样本名:XX云VPN客户端网关无法设置报错截图等异常情况说明.zip

  • SHA1:7f1b13fb793812c085c03d6d4b2e86a46136973f

  • 文件类型:ZIP

  • 样本家族:CobaltStrike

  • C2:

https[:]//106.54.165.184/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=e2578e095bc2ed791859cbe05c0d801c&index=1&sk=62633227)

  • 描述:该钓鱼样本采用多层伪装技术构建攻击链路,其技术实现路径如下:

    • 初始载荷伪装:通过在文件名末尾追加 Unicode 不可见字符(如 U+200B 零宽空格)实现后缀隐藏,使“恶意程序.exe” 在文件管理器中显示为“恶意程序”。
    • 白名单程序利用:针对 Windows 10 系统预装的 WordPad(write.exe)实施 DLL 劫持攻击,恶意构造 edputil.dll 文件,利用应用程序加载依赖库时的路径搜索顺序缺陷,实现非授权代码执行。
    • 社会工程学迷惑:同步释放伪造的“XX云VPN客户端网关无法设置报错截图等异常情况说明.docx”文档,文件名模拟真实业务场景(如“XX云VPN网关配置异常说明.docx”)。

2、其他类型

2.1 样本一

  • 样本名:XX链管理中心IT需求收集.2di489nfi293kn.fids5.vfdi4vd.docx.msi.virus.oft.msi

  • SHA1:4a0655950e3412ff7745714325c8cf5ff8df143b

  • 文件类型:MSI

  • 样本家族:无

  • C2:

https[:]//114.117.252.210:9090/api/v2/updates/core/Xk9mP-7WqE2nR5tY https[:]//114.117.252.210:9090/resources/libs/framework/Hn6gS-4BvL8uQ3zM
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=d53046098d22a9a0827d738ab80ece99&sk=49432187)

  • 描述:该攻击样本采用 MSI 安装包作为初始攻击载体,通过 Windows 系统原生安装服务实现高可信度投递。解压后释放经过混淆处理的 PowerShell 脚本,该脚本通过加密通道与 114.117.252.210:9090 建立通信,尝试获取 Assist.exe 主执行模块及 UpdateAssist.dll 动态链接库。因 114.117.252.210:9090 服务已下线,导致后续行为无法继续触发。

2.2 样本二

  • 样本名:安装setup.exe

  • SHA1:53a2f4b4a542b6e78764c35d5faadb1a72321f70

  • 文件类型:EXE

  • 样本家族:银狐

  • C2:

a.zqycftmex.cn:7777a.zqycftmex.cn:77777
  • 报告链接:[天穹沙箱分析报告](https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=8fa0483f2835926429d5427bbf52073b&sk=71448450)

  • 描述:银狐组织在 HVV 行动期间投放的新型攻击变种样本,其攻击执行链延续了既往手法特征;在持久化机制上,通过伪装为 VMware 相关名称的启动项实现系统长期驻留。

  • 威胁配置信息

第三期威胁配置3
图5 ValleyRAT威胁配置信息



三、IOC福利


四、技术支持与反馈


天穹智能分析平台是天穹沙箱迈向智能化的又一次跃进。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。如果您想了解更多有关天穹智能分析平台的功能和应用,欢迎与我们联系!

天穹智能分析平台(联系我们申请账号):https://sandbox.qianxin.com

奇安信技术研究院是专注于网络空间安全相关技术的研究机构,聚焦网络空间安全领域基础性或前沿性的研究课题,结合国家和社会的实际需求,开展创新性和实践性的技术研究。

星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。


我们目前正在招聘,工作地点覆盖北京、南京、成都等城市,详情请参见:

https://research.qianxin.com/recruitment/

【声明】内容源于网络
0
0
奇安信技术研究院
网安技术研究国内外前沿动态,相关技术研究发展报告。
内容 53
粉丝 0
奇安信技术研究院 网安技术研究国内外前沿动态,相关技术研究发展报告。
总阅读0
粉丝0
内容53