近期，有用户反馈公司内部邮箱收到了恶意投递的钓鱼邮件，天穹沙箱团队立刻紧急响应此事件。经分析，该样本将自身伪装为桌面微信程序，使用PyInstaller打包试图绕过EDR检测，最终加载ValleyRAT的载荷。ValleyRAT是一种远程访问木马（Remote Access Trojan, RAT），它允许攻击者远程控制受感染的计算机系统，通常通过钓鱼邮件、恶意附件或软件漏洞传播，一旦安装在受害者的设备上，就能够执行多种恶意活动。结合近期攻击事件推断，此样本与银狐组织活动有关，样本使用的诸多手法与该组织相符合。下面结合天穹沙箱分析结果对该样本进行详细分析。

近期，天穹沙箱分析人员发现一款植入了CobaltStrike后门的勒索病毒样本，在此前的分析中，勒索病毒通常会在勒索信中留下链接或邮箱等联系方式，不具备后门功能，少部分会携带自己编写的后门，但携带CobaltStrike作为后门的勒索病毒还是首次遇见。经分析，该样本为最新版本的D0GLUN家族（中文名为：澪川勒索）勒索病毒，以下对该样本进行深入分析。

在信息安全领域，Shellcode以其小巧、简洁、独立等特性，常被作为漏洞利用的功能载荷插入到系统或某些程序中实现攻击者的意图，如获取系统控制权、下载并执行恶意软件、创建后门或发送数据等。因此，检测和分析Shellcode是信息安全防护的重要环节。为了能够智能化分析Shellcode，天穹沙箱推出了Shellcode模拟执行功能，该功能能够模拟执行各种Shellcode，捕获执行过程中的关键行为，包括内存操作、系统调用、网络活动等，并深入分析其行为和特征，生成详细的分析报告，帮助安全研究人员更好地理解和识别潜在的恶意代码。

近期，天穹沙箱分析人员发现线上数个样本的流量均检出相似的Lumma Stealer活动，其中两个样本为Powershell脚本，另一个为伪装的EXE安装器，三个样本在运行后都连接了相同的C2地址。经分析，这三个样本实际存在父子关联关系。

近期，天穹沙箱分析人员在公网样本狩猎时发现一个高危样本，该样本将自身伪装为ChormeGPT_install.exe安装包，诱导用户点击执行，在安装过程中完成C2通信和持久化注册。对样本溯源后发现，有多个样本访问了相同的C2地址，并且都是以安装包的形式存在。根据攻击手法判断，这些样本均来源于银狐组织。由于这批样本中引入了一些与之前不同的攻击手段，下面我们将对该样本进行深度分析。

本文是星图实验室研究员刘璐、尹斌，在看雪SDC 2024上发表的议题《大模型技术在恶意软件分析中的实践》。该议题阐明了当前恶意软件分析方法面临的问题，针对分析难点和分析需求详细说明了借助大模型技术提高恶意软件分析效率及分析结果等方面的实践。