在 Windows 环境中，BYOVD（Bring Your Own Vulnerable Driver）攻击正成为高级威胁组织绕过内核防护、实现权限提升和终止安全软件的关键手段。攻击者通过加载已签名但存在漏洞的合法驱动，利用其内核级访问能力篡改关键系统结构，从而获取 SYSTEM 权限并静默关闭杀毒进程。近期，天穹沙箱全面增强了对 BYOVD 攻击行为的检测能力，该功能可精准识别样本在运行过程中部署漏洞驱动、注册内核服务、发起异常 IOCTL 调用以及篡改进程令牌或终止安全进程等关键行为。通过深度融合驱动加载上下文、内核内存操作语义与进程关联图谱，天穹沙箱能够在动态分析中实时捕获 BYOVD 攻击全链路，显著提升对内核级隐蔽威胁的检出率，为高级威胁分析与响应提供更可靠、高效的支撑。

在天穹沙箱日常运营分析过程中，监测到扩展名为.hta的文件，但其实际文件头却显示为ZIP格式，表明这类样本在文件类型上存在刻意伪装。为探究其攻击手法与规避原理，我们对该样本展开了深入分析。

在 Windows 环境中，目录穿越（Path Traversal）攻击日益频繁，攻击者常利用该漏洞绕过访问控制，非法读取或写入系统敏感文件。近期，天穹沙箱新增并优化了目录穿越行为检测能力，该功能可精准识别样本在运行过程中尝试构造或利用路径遍历（如 ..\、%5c..%5c 等）的行为，实时捕获其对非授权路径的访问企图。通过这一增强机制，沙箱在动态分析中能够更全面、更深入地揭示潜在的目录穿越风险，显著提升对高隐蔽性攻击的检出率，为安全分析提供更可靠、更高效的支撑。

天穹智能分析平台近期完成全面升级，新增多项功能，并根据用户反馈进行了系统性优化。本次升级主要涵盖以下三个方面：情报智能体正式上线、智能问答响应速度显著提升和样本与网络地址详情页更新，大幅提升平台能力和用户体验。

近期，WinRAR曝出存在目录穿越漏洞（CVE-2025-8088），攻击者可构造恶意压缩包实现目录穿越，将任意文件写入到系统盘的任意位置。攻击者利用此漏洞可将恶意载荷（Payload）释放到Windows系统的“启动”文件夹下，当用户下次登录系统时，恶意代码将被自动执行，攻击者可获得主机的持久化控制权。该漏洞影响所有版本号<7.13的WinRAR，建议各位读者立即升级至WinRAR 7.13或更高版本。自漏洞曝出，天穹团队积极扫描线上样本，检测到存在利用CVE-2025-8088的压缩包恶意样本，沙箱已于第一时间对该攻击样本进行分析，并确认天穹沙箱可以有效检测利用此漏洞的恶意行为，保护用户免受其害。

在网络安全攻防演练第四周的末期，天穹团队延续高频分析节奏，系统梳理样本演化脉络，结合多维检测引擎与攻击链建模技术，形成以下核心观察结论：传播策略优化维持攻击流量高位，攻击技法多维演进加速威胁扩散，定制化攻击聚焦关键行业目标。