近日，天穹沙箱发现一个有趣的样本，通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件，其中密码存放在邮件正文中。解密后，压缩包内包含一个ISO文件，ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思，通过深度的层层伪装使其极具迷惑性，导致许多沙箱无法正确分析。然而，得益于天穹沙箱多维度的深度检测功能，通过对邮件、压缩包、可执行文件进行全面的分析，我们能够呈现该样本全面完整的攻击手段和过程。

网络攻防真人秀（H/W）已过去一周，奇安信技术研究院秉承“安全能力输出，实际行动支前”的理念，基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱，持续狩猎高价值样本并自动化分析和研判，为各位师傅们输出高水平分析报告。

近日，天穹沙箱捕获到一封伪装为保密通知的钓鱼邮件，该邮件在附件中插入压缩包，并将恶意软件伪装为保密检查工具旨在诱导用户双击打开，一旦运行，该恶意软件会启动隐藏在其中的CobaltStrike Beacon。天穹沙箱提供了结合动态和静态分析的深度检测功能，可以全面追踪和分析钓鱼邮件中的恶意软件，使其无所遁形。

目前，国内的一些竞品厂商尚未支持Windows 11系统，而天穹沙箱则率先上线了对Windows 11的支持，这使得天穹沙箱可以更准确地识别Windows 11的恶意软件，并丰富了沙箱的检测能力。同时，随着Windows 11环境的支持，天穹沙箱已经全面覆盖了Windows所有主流版本的系统。

近年来，Android作为当前市场占有率最高的移动终端系统，一直遭受着网络攻击的威胁，恶意的APK文件层出不穷。为了更好地展示天穹沙箱分析Android样本的能力，本次报告中我们选择了近期的一个APK样本作为示例，详细介绍天穹沙箱对Android样本的分析能力。

近期，天穹沙箱上线了新功能——"智能网络切换"网络模式。该模式可以在网络联通的情况下，智能识别死亡主机，自动化切换外联网络和模拟网络，并保证死亡主机地址网络联通。同时，该模式还可以模拟高级 C&C 服务，对受支持的样本家族自动下发攻击指令，诱导样本进一步触发恶意行为，从而大幅提升了天穹沙箱对僵尸网络样本的分析能力。