【天穹】HVV专题:典型HVV样本总结与IOC收集(第五期)
/ / 点击 / 阅读耗时 17 分钟一、概述
网络安全攻防演练进行至第三周末期,天穹团队持续推进样本分析工作,结合多维检测引擎与攻击链建模技术,形成以下核心观察结论:
- 恶意样本传播呈现阶梯式递减态势
- 平台监测数据显示,攻击流量曲线于第三阶段中期形成稳定拐点,日均恶意样本捕获量较首周下降 20%。
- 值得关注的是,银狐(SilverFox)APT 组织变种样本呈现线性增长,周环比增幅达 80%。
- 攻击技法呈现典型木马特征
- “白利用”(White+Black)混合攻击架构的日均投递量维持高位稳定。
- 载荷分离加密技术已成为标准化攻击手段。
- 攻击目标呈现高度行业定向性
- 金融基础设施、能源系统、政务云平台、航空等战略领域成为重点攻击对象,攻击行为具备深度行业特性的定制化技术特征。
天穹沙箱温馨提示: 若您收到可疑链接或文件,切勿直接点击或运行!可优先投递至奇安信天穹沙箱进行风险鉴定,通过专业的动态行为检测与威胁情报匹配,精准识别潜在安全风险。使用天穹沙箱过程中,如您遇到任何问题(如样本投递失败、分析结果存疑等),可随时联系我们,我们将第一时间为您提供技术支持与解答。
二、典型样本分析
1、压缩包
1.1 样本一
样本名:XXXX国际机场核心区互动项目招标结果异议.7z
SHA1:7044126bdff30f08e2d2b3e10234b8cbdb85c83d
文件类型:7Z
样本家族:CobaltStrike
C2:
1
https[:]//47.112.100.51:8080/res/js/jquery-3.6.2.slim.min.js
报告链接:天穹沙箱分析报告
描述:该攻击采用定向投送的压缩包作为初始渗透载体,其文件名经过精心构造以匹配目标特征,包体内嵌的 PE 可执行文件伪装为 Word 文档图标,具备显著的用户迷惑性。样本实施了多维度、高隐蔽性的反调试与反沙箱检测机制:
- 调试器检测:通过 IsDebuggerPresent 函数验证调试器存在性,并调用 CheckRemoteDebuggerPresent API 实施远程调试环境交叉验证;利用 GetSystemMetrics(SM_REMOTESESSION) 检测是否处于远程桌面会话,以此规避沙箱分析。
- 硬件特征校验:实施 CPU 核心数检测(要求 ≥ 4 核),过滤低端计算环境。
- 社会工程迷惑:在检测阶段弹出伪造的系统错误对话框,显示“文件已损坏”以迷惑用户。
当所有检测通过后,样本将解密第一层 Shellcode,通过 WinHttpSetStatusCallback 接口隐蔽回调执行载荷。该 Shellcode 的核心功能为:动态解析 C2 地址
https[:]//47.112.100.51/res/js/jquery-3.6.2.slim.min.js,通过 WinHTTP API 实现无文件化载荷投送,最终在内存中执行下一阶段攻击模块。整个攻击链体现了 HVV 样本的典型特征,包括定向投送、多层级环境感知、社会工程学欺骗及无文件化执行等先进技术组合。威胁配置信息
1.2 样本二
样本名:XXXXXX能源发展有限公司XXX水力发电厂相关项目工程XX…摄像宣传制作服务项目异议反馈.rar
SHA1:e4370170e106b5580a558abe81d301ece1fd53b3
文件类型:RAR
样本家族:CobaltStrike
C2:
1
2https[:]//123.207.158.219:443/center/user_sid
https[:]//43.143.204.191:443/center/user_sid报告链接:天穹沙箱分析报告
描述:该恶意样本采用多阶段侧加载(Side-Loading)技术构建复杂攻击链,其技术架构与第四期典型样本二呈现显著同源性,但在实现手法上实现了策略性升级。样本首先通过动态加载机制注入基于 Go 语言编译的伪造系统 DLL 模块(libglib-2.0-0.dll),攻击流程呈现两层嵌套结构:
- Shellcode 通信阶段:载荷解密后建立加密通信通道,主动连接 C2 服务器
https[:]//123.207.158.219/center/user_sid,实施分阶段载荷投送。 - 白加黑组合攻击:下载经过数字签名伪装的合法程序 jinfo.exe 作为载体,配合恶意 DLL(jli.dll)形成二次侧加载组合,最终在内存中构建完整攻击组件。
该样本在战术层面展现三大进化特征:
- 对抗性增强:采用 Go 语言编译的 DLL 模块具备更强的反逆向能力,配合动态加载机制有效对抗基于特征码的检测。
- 隐蔽性升级:通过“白程序 + 黑 DLL”的组合投送模式,完美规避应用程序控制类安全产品的拦截。
- 持久化优化:攻击链各阶段均采用无文件化执行技术,结合侧加载的合法进程托管机制,显著降低行为检测系统的识别概率。
- Shellcode 通信阶段:载荷解密后建立加密通信通道,主动连接 C2 服务器
威胁配置信息
1.3 样本三
样本名:XXXX旅游公司(人员名单).zip
SHA1:cbf4db3adda8ea0aba615f31a44001709d726429
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
http://139.9.91.122:8011/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js
报告链接:天穹沙箱分析报告
描述:攻击者精心构建社会工程攻击链:通过伪造旅游企业品牌标识的压缩包作为攻击载体,利用用户对企业的信任心理实施初始渗透。当受害者解压并执行伪装程序后,攻击模块会执行双重迷惑操作——表面释放与压缩包同名的正规 Word 文档并自动打开,制造“文件正常”的虚假表象;暗中则通过隐蔽进程与指定 C2 服务器
http[:]//139.9.91.122/jquery-3.3.2.N2cQ4mXdZ4nIo9XIhttp.min.js建立连接,动态加载下一阶段恶意载荷。该攻击框架采用无文件落盘技术,通过反射式 DLL 注入实现内存代码执行,有效规避传统杀毒软件的静态扫描检测。同时建立基于 HTTP 协议的双向通信信道,既用于接收 C2 指令,也作为持久化控制的后门通道。整个攻击过程融合了社会工程学欺骗、内存驻留等多重高级威胁技术,形成从初始访问到权限维持的完整攻击闭环。
威胁配置信息
1.4 样本四
样本名:all.zip
SHA1:94fb4c156797e37c8a4abd1a0a95b9edd48c2ad1
文件类型:ZIP
样本家族:银狐
C2:
1
154.94.232.120
报告链接:天穹沙箱分析报告
描述:在 HVV 行动期间,天穹沙箱监测到银狐木马家族变种攻击活动。该样本采用特洛伊木马式攻击架构,通过 DLL 侧加载技术实现初始载荷的隐蔽执行,延续了该家族“进程空壳化 + 动态加载”的核心战术。通过内存级代码注入技术将恶意模块植入 explorer.exe 进程空间,形成无文件化攻击特征。
2、其他类型
2.1 样本一
样本名:loader——64.exe
SHA1:d660489d93fbf5c4c171d3069f279eacbb190f41
文件类型:EXE
样本家族:CobaltStrike
C2:
1
2
3
4
5https[:]//180.163.146.82/webwx/res/json3.min.js
https[:]//171.43.169.235/webwx/res/json3.min.js
https[:]//61.160.192.70/webwx/res/json3.min.js
https[:]//118.112.10.112/webwx/res/json3.min.js
https[:]//122.226.64.103/webwx/res/json3.min.js报告链接:天穹沙箱分析报告
描述:该样本是一个典型的 HVV 样本,其多层防御规避机制和动态载荷交付方式,展现出攻击者对 Windows 平台底层机制的深刻理解,该恶意程序样本展现出高度复杂的攻击技术特征:
- 采用多层加密架构设计,通过递进式解密机制实现载荷保护。
- 利用 PE 文件资源段作为载荷容器,通过动态资源提取算法完成初始解密阶段。
- 利用线程池的特性,将解密后的 Shellcode 注入独立线程空间运行。
- Shellcode 执行流程包含自修改代码技术,通过运行时解密实现后续攻击载荷的动态加载。
- 采用 HOST 伪造技术实现隐蔽网络通信。
三、IOC 福利
HVV IOC
| 样本名 | 1a66229a663404a71a255f9f7558d08300551992.x64.exe |
| MD5 | c6aa9a8d2a4f508f8f45c2e29f5fb16f |
| C2 | https[:]//voknyq-vyrach-8000.app.cloudstudio.work:443/res/js/jquery-3.6.2.slim.min.js |
| 样本名 | beacon.exe |
| MD5 | 8ded88474b14fe8455bd139ca906feaf |
| C2 | http[:]//10.58.179.50:80/dot.gif |
| 样本名 | w0rdpad.exe |
| MD5 | af1f8bf48307e28778639661eb6bdfcd |
| C2 | http[:]//192.168.110.54:8897/EwVK |
| 样本名 | XX × XX机场宠物护理合作方案_20250719_DXJS163215733.rar |
| MD5 | 535daae4e15f82df479fc00359b14cd1 |
| C2 | 49.119.120.93 |
| 样本名 | XXXX安全文档中心 - 安全文档访问.exe |
| MD5 | 53e9ea38f1bc9db29ad242d402d8f222 |
| C2 | 1317148038-42nowyv1ug.ap-beijing.tencentscf.com |
| 样本名 | 我吃萝卜2.exe |
| MD5 | 3d7689e26e990c767e7bf6dbd2918bc4 |
| C2 | http[:]//121.36.223.94/ca |
| 样本名 | 公司资质与技术方案-XXXX网络.pdf.exe |
| MD5 | 153851bf65a847ffc9a7927bd473ec7a |
| C2 | 1317148038-0fwmj32no0.ap-beijing.tencentscf.com |
银狐 IOC
| 样本名 | 3a021a9bc09f5321d5d4504d227357b0bac6f551.x64.exe |
| MD5 | 93fbfa14dbf45bdd3f8e680b36695e49 |
| C2 | 47.239.119.126:7777 |
| 样本名 | 360_SfaeBrowser_brosvver_v1.8.0.msi |
| MD5 | eb377533dd7319cb3bbc88286d76e72a |
| C2 | 23.133.4.6 |
| 样本名 | 7a1f6c1f6b3bdfb017b0a95b557176b3e7ef02b7 (1).x64.exe |
| MD5 | 2e517e1fbfc12ad1193ded57be4f8602 |
| C2 | http[:]//key2025.oss-cn-hongkong.aliyuncs.com/2025.bin |
| 样本名 | Windows安装包.exe.vir.exe |
| MD5 | 3020e415dd4f6f5fa5e5a00e4a5e5cc0 |
| C2 | 161.248.87.240:3005 |
| 样本名 | 04b028893409af813d94a1012b06ce36f2cd5df9.x64.exe |
| MD5 | 008b4faaebaa2ca96cf74a4415f6b190 |
| C2 | fsdnojnnpatkl.cn |
| 样本名 | D d 77 setup.x64.exe |
| MD5 | 556852ca226db3ee97c6f1e68bd2a6d0 |
| C2 | job2.fdwehzitx.cn:7777 |
| 样本名 | d2025-年 第 二 季 度 违 规 内 职 人 员 名 单 信 息nasivioqavoirwtonbpwoph (2).x64.exe |
| MD5 | 8da36dbc7693fdaf6818b896a7c36d8f |
| C2 | 54.46.39.110 |
| 样本名 | 关于7月内部违规人员名单自查_电脑版.zip |
| MD5 | f5b75a6f2893fc124015d475b420cbd9 |
| C2 | 16.163.219.121 |
| 样本名 | 点击安装简体中文语言包l1.exe |
| MD5 | 4a3bf1c5f379da5e7df14c9bdf264af8 |
| C2 | dashenbaba2.com |
四、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
