本文是星图实验室研究员刘璐、尹斌，在看雪SDC 2024上发表的议题《大模型技术在恶意软件分析中的实践》。该议题阐明了当前恶意软件分析方法面临的问题，针对分析难点和分析需求详细说明了借助大模型技术提高恶意软件分析效率及分析结果等方面的实践。

在天穹团队之前发布的一篇文章《【天穹】多个变种！某知名游戏启动器遭银狐劫持》中曾提到，某知名游戏厂商的启动器`StarRail.exe`存在DLL劫持风险，并提醒读者务必保持警惕。就在9月份，该启动器再次遭到攻击者的劫持利用。不过这次的利用主体不是银狐，而是一个勒索软件团伙。由于该勒索软件会在加密后的文件名尾部追加`.k`后缀，因此被命名为`Kransom`。进一步分析发现，攻击者意图似乎不在于谋财，更可能是希望以这种方式损害该游戏公司的名誉或纯粹用于炫技。

近期，天穹团队在日常狩猎活动中发现了一个MSC格式的样本，该样本利用了一种被称为GrimResource的攻击技术，当用户点击样本后，就会触发mmc.exe执行msc内嵌的JavaScript代码。这种攻击方式在今年6月份才被Elastic Security首次公布，市面上的许多沙箱还无法分析此类样本。天穹沙箱不同凡响，具备强大的样本分析能力，针对msc格式的文件也可以有效分析。接下来，我们结合天穹沙箱分析报告，深度剖析此类样本的攻击手法。

近期，天穹沙箱分析人员在样本狩猎时发现，某知名游戏厂商的RPG旗舰游戏客户端启动器由于缺乏完善的签名校验逻辑，遭银狐黑产组织DLL劫持利用，并在互联网上广泛传播。天穹沙箱已捕获到多个变种，经分析，这些样本的攻击手法相似，且均利用了相同的白程序。接下来，我们选取一个典型样本，对其进行深度分析。

近日，天穹沙箱在进行日常样本狩猎时注意到一个特殊的MacOS样本。经过天穹沙箱动态分析和人工校验，确定该样本为`Atomic Stealer`​家族，与历史版本不同的是，该样本首次采用了base64编码的osascript下载恶意载荷，因此进一步确定该样本为`Atomic Stealer`​家族新变种。Atomic Stealer (AMOS) 是专门针对MacOS系统开发的信息窃取恶意软件，于2023年4月首次被发现，此后出现多个变种，某些变种通过`.dmg`软件包进行传播，一旦安装，它将立即开始搜集系统敏感信息并发送给远程服务器。我们此次分析的就是`.dmg`软件包类型的窃密样本，以下利用天穹沙箱的自动化分析能力，对该样本的具体行径进行深入分析。

在HVV行动中，红队的黑客们总是能想出不少脑洞大开的攻击套路。本次，我们将介绍近期发现的一种新型压缩包攻击手法，攻击者将完整的Python可执行程序封装于压缩包内，通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件，再打开一个文档文件掩盖后台的恶意行为。目前，天穹沙箱已经发现数个使用此攻击方式的钓鱼样本，在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招，因此我们结合天穹沙箱强大的压缩包分析功能，对此类攻击方式进行了更为深入细致地剖析。