近期，HVV行动进行地如火如荼，奇安信天穹沙箱在线协助用户对HVV样本进行自动化分析，后台同步开展人工研判样本分析结果，全力保障用户安全。本文整理了近期较为典型的HVV样本，其传播方式仍以钓鱼为主，通常伪造为`官方通知`、`岗位招聘`、`合法软件安装包`、`邮箱验证`、`个人简历`等文件诱导用户点击，样本家族仍以`CobaltStrike`居多，同时也出现了许多红队自写C2框架，在C2通信协议上，样本广泛使用`云函数`和`国内云服务器IP`作为C2地址，并使用`HTTPS`、`域名伪装`、`自定义协议`等技术伪装会话内容。

天穹沙箱发现一个名为“身份证正反生成.zip”的钓鱼样本近期被大量用户投递，仅从名字来看就知道这是一个典型的HVV样本。解压后发现其内部有一个名为身份证正反生成.exe的可执行文件和一个名为_internal目录，目录内有大量pyd文件。粗略看过，很容易认为该样本是一个PyInstaller打包木马，但深入分析则会发现其暗藏端倪。更有意思的是，我们发现该样本存在反沙箱行为，导致许多友商的沙箱都被成功绕过，这更加激起了我们的好奇心，因此决定一探究竟。

近日，天穹沙箱团队捕获了一个名为“查找.exe”的样本，经过初步分析，因其采用了阿里云CDN分发流量，恰逢国内HVV行动期间，很容易被误判为典型的HVV攻击样本。然而，经过深度剖析，我们揭露了其真实面目——这是由狡猾的“银狐”组织特制的恶意木马，专门设计用于在HVV行动中隐匿传播。本次我们以该样本为案例，向大家展示如何利用天穹沙箱开展自动化样本分析，如何理解天穹沙箱的分析结果报告。

PowerShell脚本反混淆功能深度融合星图实验室的两项学术研究成果，能够应对目前所有已知的反混淆手段，同时更具备美化脚本内容功能。PowerShell反混淆技术能够去除脚本中的混淆代码，恢复其原有的清晰结构和可读性，同时，结合最新升级代码智能解读功能，解析代码逻辑，分析恶意行为，揭示攻击手法，提取IOC信息，研判C2地址，为安全分析提供关键线索。

近日，天穹沙箱创新推出TQ-GPT沙箱智能分析助理，通过深度学习和理解沙箱分析报告中的关键信息与安全术语，快速准确地解读报告内容，对用户提出的问题做出详细的智能解答。通过整合安全知识数据集构建、运用SFT微调技术增强模型的专业适应性，结合文本向量化和语义表示技术，确保对报告中涵盖的静态规则识别、恶意流量分析、威胁配置评估、威胁情报洞察、动态行为建模以及漏洞利用检测等诸多要素，提供明晰而全面的解读服务。

DLL侧加载攻击已成为网络安全领域的一项严重威胁，相较于以往，这种攻击方式的数量和影响范围都呈现出了快速增长的趋势，给企业和个人带来了巨大的损失和风险。DLL侧加载攻击可以针对不同系统版本和软件进行恶意DLL注入，通过利用受信任的应用程序加载恶意DLL来绕过安全防护，使得恶意代码得以执行，进而窃取敏感信息、控制系统甚至加密文件勒索钱财等。虽然已有一些安全解决方案对DLL侧加载采取了检测防御手段，但攻击方式的不断创新使得此类威胁依然具有挑战性。为了应对这一威胁，天穹沙箱增加了针对DLL侧加载攻击的检测功能，以帮助用户及时识别并应对这种潜在的安全风险，从而保护系统和数据安全。