一、重磅发布

天穹团队正式推出基于 MCP 驱动的智能威胁拓线功能
长期以来,众多安全分析人员在应对样本溯源与威胁拓线时,深受高度重复、流程繁琐的困扰。这类工作不仅耗时耗力,还常常在完成后仍需撰写复杂的分析报告,用于工作汇报和风险说明。
现在,不必再为此烦恼。天穹智能威胁拓线功能将有效解放人力,我们已将威胁狩猎能力封装为 MCP 智能体服务,深度融入 TQ-GPT 大模型,这是对 TQ-GPT 的一次重大升级,现已具备以下自主情报狩猎能力:

  • 深度挖掘沙箱报告
  • 根据挖掘内容自动化收集与分析情报
  • 主动拓线发现的IOC数据
  • 溯源恶意样本家族与攻击组织
  • 构建攻击时间轴、C2通信拓扑、家族关联图谱、完整攻击链
  • 整合情报,生成一份详细的高质量自动化拓线报告

该功能通过自动化分析链路、深度溯源轨迹和智能生成报告,免去了人工分析、溯源、拓线和报告撰写的繁琐过程,显著提升了威胁狩猎与溯源效率。HVV 期间,智能威胁拓线功能可帮助广大分析人员快速分析样本–只需将样本提交至天穹沙箱,其余交给我们。一键触发,快速闭环,让溯源不再繁琐。

天穹智能体拓线宣传图

二、使用方法

1、进入天穹沙箱,投递可疑样本:

sandbox_index

2、样本分析完成后,TQ-GPT 会在后台自动执行拓线任务。MCP 任务复杂,通常需要等待一段时间,等待拓线报告按钮显示完成,即可点击查看自动化拓线分析报告

auto_report_entry

3、平台支持下载拓线分析报告,点击报告右侧的下载按钮,即可下载指定格式(PDFMD格式)的拓线报告。

mcp_report

4、报告底部是 MCP 调用过程,展示了每一轮调用智能体的思考和操作描述,包括:

  • MCP服务工具名
  • TQ-GPT对上一轮操作的总结
  • TQ-GPT对本轮操作的描述

image-20250625173526597

三、案例演示

案例一

样本基础信息

该样本是一个 AgentTesla 家族木马,智能体分析确认以下 C2 地址:

  • mail.mbarieservicesltd[.]com

随后,通过溯源发现大量关联AgentTesla家族样本:

  • 898f9f9c71998a3270cf3a143a526b7c
  • 8831f9f6952c158f6aa3b2505baa02a0
  • ea74d5d6278bc5223ad682b8bc5cea3b
  • a040fe68a3f8ccab7ef47c1309d55d1c
  • 8442e1857102fa7ab176e7ef89e1fd01

另外,还发现了一个使用相同 C2 的 njRAT 家族样本:

  • 4de61283931b2c0f215f142cd1110a28

最终,智能体输出包含 C2 通信拓扑完整行为链分析防御建议等内容的详细拓线报告,在每个章节处辅以佐证材料信息,以保证数据的可靠性。

image-20250703172338172

案例二

样本基础信息

该样本是银狐组织近期投放的钓鱼样本之一,智能体通过关联分析,发现以下 C2 地址:

  • www[.]llq.top
  • key2025[.]oss-cn-hongkong.aliyuncs.com

随后,利用上述恶意地址,通过联网活动、情报等数据找到大量新样本。

image-20250627175016592

案例三

样本基础信息

该样本是一个 Mirai 僵尸网络样本,由于网络原因,该样本已经无法产生任何网络行为。

image-20250627182843073

但这难不倒智能体,智能体通过回溯分析样本的历史网络行为数据,成功提取出样本曾经访问过以下两个可疑地址,并发现该样本曾经针对大量网络地址进行频繁端口扫描(DDoS):

  • cecilio.geek
  • kamru.su

经情报确认,这两个地址与 Mirai/Omni 相关,确认为样本 C2。

基于上述两个恶意域名拓线,发现了大量关联样本:

  • 5aafeb68820b51a82e9fb47e64c43492
  • 006506e7aa760d4ff1da6a335c791510
  • 83df9df5c64f1de8b9074f5efdbcc97e
  • 91a290a2b592eacce53f39306fcf5767
  • a34f8711f17e17a6b67fdad97836d27f

image-20250627183424028

四、FAQ

问题1:拓线报告是 AI 生成的,那么内容可靠吗?

为最大程度降低模型幻觉问题,天穹团队采用了模型微调知识库构建提示词引导以及 MCP 流程设计等多重策略,有效提升了生成内容的准确性和稳定性。所有拓线数据均经过严格的情报交叉验证,杜绝未经考证的信息流入最终报告。此外,报告各章节均附有佐证材料,以确保信息的可溯源性和可信度。

我们深知,尽管在机制设计与流程控制上持续优化,模型幻觉仍是当前大模型技术面临的共性挑战。如您在报告中发现任何疑点或错误,请随时反馈,我们将第一时间核查并优化调整。

问题2:生成一个拓线报告需要多久,为什么时快时慢?

AI 智能体在生成拓线报告时,需要经过以下阶段:

  • 报告内容梳理:智能体阅读并提炼报告中的关键信息,这需要等待样本分析完成后才能进行

  • MCP 工具调用:智能体根据报告中的提炼内容调用各种拓线工具进行数据查询。在此过程中,如发现新的 IOC,系统将自动对其发起进一步拓线。因此,根据任务的复杂程度,工具调用次数在几轮到几十轮不等,轮次越多,整体分析耗时也越长

  • 数据验证:拓线后的数据会经过情报数据交叉验证

  • 报告输出:智能体会整合上述结果,输出一份详细完整的报告

此外,当待分析样本数量较多时,当前任务可能会进入排队状态。通常情况下,单个样本的拓线分析耗时约为 10 至 20 分钟。我们正持续优化处理流程和资源调度机制,以进一步缩短等待时间,提升整体分析效率。

问题3:什么是 MCP 调用过程?

MCP(模型上下文协议)是一个开放协议,核心功能是充当大型语言模型与外部世界(如实时数据、数据库、各种工具和API)之间的标准化连接桥梁。它让 AI 模型能够安全、动态地访问和使用这些外部资源和功能,从而显著扩展了模型的实际应用能力。

MCP 调用过程清晰呈现了智能体执行拓线工作流时调用工具的关键信息,在这一过程中,您可以直观观察到 AI 智能体如何模拟专业分析人员的推理思路,逐步完成数据查询、信息收集与整理,最终完成威胁拓线和溯源任务。随着任务复杂程度的提升,MCP 调用链也将相应变长,进一步反映出智能体处理复杂任务的深度与广度。

五、 技术支持与反馈

智能威胁拓线是天穹团队基于 MCP 技术的一次创新探索,未来我们将持续推出更多 MCP 场景化应用。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。如果您想了解更多有关智能分析平台的信息,欢迎随时与我们联系!

脚本追踪展示3