【天穹】HVV专题:典型HVV样本总结与IOC收集(第六期)
/ / 点击 / 阅读耗时 17 分钟一、概述
在网络安全攻防演练第四周的窗口期,天穹团队保持高频度的样本分析节奏,通过多维检测引擎与攻击链建模技术,形成以下核心观察结论:
- 攻击流量持续攀升,传播策略持续强化
- 监测数据显示,攻击流量曲线于第四阶段窗口期呈现持续上扬特征,流量规模与第三周观测数据形成高位持平态势,表明攻击者正通过优化传播策略维持攻击强度。
- 攻击技法创新,行业渗透加剧
- 架构创新:基于“白利用”(White+Black)混合架构的攻击载荷日均投递量延续高频投递趋势,显示攻击者正通过合法工具与恶意代码的深度耦合提升隐蔽性。
- 检测对抗:新增多种高对抗性规避手段,包括但不限于环境感知、流量混淆及动态解密技术,显著增加威胁检测难度。
- 行业渗透:攻击目标呈现多行业扩散趋势,攻击面持续扩大,需重点关注跨行业攻击链的构建与防御体系联动。
- 攻击目标精准,行业定制化攻势增强
- 金融基础设施、能源关键系统、政务云平台、航空、媒体等战略领域成为定向攻击的核心目标,攻击行为呈现出面向行业特性的高度定制化技术手法。
天穹沙箱温馨提示: 若您收到可疑链接或文件,切勿直接点击或运行!可优先投递至奇安信天穹沙箱进行风险鉴定,通过专业的动态行为检测与威胁情报匹配,精准识别潜在安全风险。使用天穹沙箱过程中,如您遇到任何问题(如样本投递失败、分析结果存疑等),可随时联系我们,我们将第一时间为您提供技术支持与解答。
二、典型样本分析
1、压缩包
1.1 样本一
样本名:XX工会管理员(XXXX电基地)岗位应聘-刘XX-硕士研究生.zip
SHA1:84a4d728a21da8bf5995ce412a17da090c3cdcc0
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
https[:]//www.9515hlhj.site:8443/_PasSApi/js/jquery-3.3.2.slim.min.js
报告链接:天穹沙箱分析报告
描述:该恶意程序以岗位应聘为诱饵,实施针对特定目标群体的高度定向攻击。在启动阶段,程序会执行多层次环境检测以规避安全分析:
- 进程环境块检测:通过查询 ProcessEnvironmentBlock 结构体中的 BeingDebugged 标志位,判断当前进程是否处于调试状态。
- 异常处理寄存器校验:检查当前线程的 DR0-DR3 调试寄存器组是否包含有效地址,识别硬件断点设置
- 进程快照枚举:遍历系统进程列表,筛查是否存在 x64dbg.exe、ida.exe 等典型调试工具进程
- 云沙箱逃逸:调用
ip.sb在线服务查询出口 IP 地址,验证运行环境是否为虚拟化沙箱
成功绕过上述检测机制后,攻击流程进入执行阶段:程序首先释放与压缩包同名的伪装简历文档(.docx格式)并自动打开,通过社会工程学手段降低用户警惕性。随后加载公共语言运行时(CLR)环境,采用反射加载技术动态解析
.NET模块,最终通过 APC 队列注入技术将恶意代码注入 ilasm.exe 进程,建立隐蔽的命令控制通道。整个攻击链融合了环境感知、动态解密、进程注入等高级技术,形成完整的逃避检测与持久化控制体系。威胁配置信息
1.2 样本二
样本名:XXXX计算机技术有限公司云防火墙本地化部署项目需求对接.zip
SHA1:d73042e5556f46a917aa23b3ae8055d601990c86
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
http[:]//m.123huodong.com.cloud.cdntip.com/x/space/user/setting/list
真实URL:
http[:]//175.12.74.99/x/space/user/setting/list报告链接:天穹沙箱分析报告
描述:该恶意样本采用多阶段侧加载(Side-Loading)技术构建精密攻击链,压缩包内嵌同名 LNK 快捷方式文件,其命令行参数定向至隐藏目录 __MACOSX 中的 config.exe 可执行程序。config.exe 启动后通过动态侧加载机制解析 arphadump64.dll 恶意模块实施攻击载荷,后续攻击流程包含双重伪装策略:一方面调用 4.pdf 文档制造正常操作假象干扰用户判断,另一方面采用 HOST 头伪装技术,通过加密信道与
http[:]//175.12.74.99/x/space/user/setting/list建立隐蔽 C2 通信链路,形成完整的攻击闭环。威胁配置信息
1.3 样本三
样本名:1.rar
SHA1:c34e4fca8d6335dbf10ee413d6ff6fbb8112e63f
文件类型:RAR
样本家族:CobaltStrike
C2:
1
https[:]//47.92.91.213/js/lib/guide_tips-d9e617f785.js
报告链接:天穹沙箱分析报告
描述:该样本属于典型的 HVV 攻击武器,采用多阶段侧加载与进程注入技术实现隐蔽攻击:
初始入侵阶段:通过 DLL 侧加载技术,利用合法进程加载 userenv.dll 恶意模块
载荷投递机制:
- 第一阶段:通过 HTTP 协议从
47.92.91.213/download/file.aspx获取加密载荷 - 第二阶段:利用 explorer.exe 进程从
https[:]//47.92.91.213/js/lib/guide_tips-d9e617f785.js下载次级载荷
进程注入链:
- 首次注入:将解密后的 shellcode 注入 explorer.exe 实现权限维持
- 二次注入:通过进程间通信将有效载荷迁移至 WmiPrvSE.exe 系统服务进程
攻击特性:采用多层级进程注入技术构建复杂的进程链逃逸路径,有效规避常规安全检测机制
- 第一阶段:通过 HTTP 协议从
威胁配置信息
1.4 样本四
样本名:sample.zip
SHA1:b3ea09d7f1b62c861d367b435c21ae76e49789e0
文件类型:ZIP
样本家族:银狐
C2:
1
https[:]//106.53.131.96:443/omp/api/micro_app/get_org_app
报告链接:天穹沙箱分析报告
描述:该样本通过对 PDFViews.exe 进行二次开发,通过覆些特定函数块,实现了对原始代码执行流程的定向劫持。在攻击载荷部署阶段,样本采用分层加载机制:首先从外部资源读取加密压缩包 update.pack,经多级解密算法处理后释放并执行内存载荷,该设计有效实现了攻击组件与解析引擎的解耦。成功渗透后,样本通过 TLS 加密通道与 C2 服务器
https[:]//106.53.131.96:443/omp/api/micro_app/get_org_app建立持久化通信链路。
2、其他类型
2.1 样本一
样本名:客户端补丁_202507.exe
SHA1:43e4127f8fec41b4ef4e3450dc546c95c281a8f9
文件类型:EXE
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
https[:]//jsupd.oss-accelerate.aliyuncs.com/FMsW
真实URL:
https[:]//36.99.86.14/FMsW报告链接:天穹沙箱分析报告
描述:该恶意程序样本与历史变种具有高度同源性,均基于 Java Web Start 启动器(javaws.exe)进行深度定制化开发。攻击者通过覆写特定函数实现代码执行流的劫持操作,精准劫持程序执行流以实现代码注入。在载荷解密阶段,该样本采用多层动态解密算法,在内存空间直接解压并执行经过异或加密的 Shellcode,有效规避静态检测机制。通信阶段采用 HOST 伪装技术,建立隐蔽 C2 通信通道。
2.2 样本二
样本名:XXXXXX保险股份有限公司XXX公司教育部供需对接就业育人项目相关材料.exe
SHA1:8c30ccb0add9870b2bf5d720fbc0bc064ade8abd
文件类型:EXE
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
https[:]//x-1329736259.cos.ap-beijing.myqcloud.com/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUHIAHCGFMKHLLIDJDKAHPFIKBEMAKNAFDFCLFHCPJHEMDLMFANNIEILFFMNFECEKAGEBINEKGJONFDHLNOHCJEKAKPMIEJKGBJHKHCMGBKAABNBIPFHIKAMGFINLBJDOICFJOLFOGBCCMFHDAKFGECHBPOKINDDKKGBDMKPKELPDJGMGHGJFIIPOJKJNDCHPCGFAGNJACICDBEIHPLAKPPPNFBEMDIAIONNAECKFNHKPOOFLIPDNOHIJOKHPGHEBE.cab
真实URL:
https[:]//117.69.71.55/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUHIAHCGFMKHLLIDJDKAHPFIKBEMAKNAFDFCLFHCPJHEMDLMFANNIEILFFMNFECEKAGEBINEKGJONFDHLNOHCJEKAKPMIEJKGBJHKHCMGBKAABNBIPFHIKAMGFINLBJDOICFJOLFOGBCCMFHDAKFGECHBPOKINDDKKGBDMKPKELPDJGMGHGJFIIPOJKJNDCHPCGFAGNJACICDBEIHPLAKPPPNFBEMDIAIONNAECKFNHKPOOFLIPDNOHIJOKHPGHEBE.cab报告链接:天穹沙箱分析报告
描述:该恶意样本展现出典型的 HVV 攻击特征,采用多维度伪装技术实施隐蔽渗透:首先通过定向欺骗策略生成与合法文档高度相似的文件名,并释放同名 Word 文件诱导用户;在通信层面,该样本结合 HOST 文件篡改技术与 HTTPS 加密通道技术,构建起高度隐蔽的指令传输链路,有效规避传统安全设备的检测机制,实现攻击指令的隐蔽接收与执行。
三、IOC 福利
HVV IOC
| 样本名 | 关于XXXX国际机场7月份员工薪酬、社会保险及住房公积金基数调整须知.exe |
| MD5 | 599bda6d0ec32912e1987f451c866ea1 |
| C2 | 121.196.224.191 |
| 样本名 | XXX集团资质材料及保险采购需求.7z |
| MD5 | 2b7dcb2402fe85e9ef1713b618e3618a |
| C2 | https[:]//171.105.26.52/ |
| 样本名 | 咨询业务.rar |
| MD5 | ed471460cd2b3d1ec4b6b7c20e41ff29 |
| C2 | 81.70.221.86 |
| 样本名 | taskhostw_exe.x64.exe |
| MD5 | 6002124182055806f7e7ef48e1b78313 |
| C2 | https[:]//43.137.29.34/encrypt |
| 样本名 | Desktop.zip |
| MD5 | e3a27d82bcdc0b42aab587a3493419d7 |
| C2 | https[:]//113.125.193.104/ |
| 样本名 | 资料.zip |
| MD5 | 1ea4187a4f3b1717623c0a4ef8357e87 |
| C2 | http[:]//223.247.117.56/omp/api/get_page_config |
| 样本名 | XXXX网络学院.zip |
| MD5 | 4c153ef717a3af05f2f6fb0e5e7a97d8 |
| C2 | http[:]//223.247.117.56:80/omp/api/get_page_config |
| 样本名 | 资产托管业务咨询明细清单.pdf.exe |
| MD5 | d1e5077a1de5f40cc517e946463b22fd |
| C2 | https[:]//81.70.221.86:4444/dpixel |
| 样本名 | 1.x64.exe |
| MD5 | 8e97d4a5f35ec73b8d82195ee93cff83 |
| C2 | 39.99.144.188 |
银狐 IOC
| 样本名 | c3.exe |
| MD5 | 33d731a0133dfb1b71979db6a5d827e5 |
| C2 | 36.99.171.154 |
| 样本名 | Desktop (2).zip |
| MD5 | a0f2339dd386e879e6240974f9008499 |
| C2 | job2.fdwehzitx.cn |
| 样本名 | 111111111.exe |
| MD5 | df56dd886a808a22b506888f817717d9 |
| C2 | 13.114.145.229 |
| 样本名 | XX办公智盾.zip |
| MD5 | 1f5e6748bca560ac597bcfb8c1614052 |
| C2 | 13.114.145.229 |
| 样本名 | Explorer-2Setup.exe |
| MD5 | ce7d35afcc77b1610afef024ff72892a |
| C2 | 18.162.240.37 |
| 样本名 | 2025.07.22(名单 副本).zip |
| MD5 | bdd21a111baa859c419bfb11d014fa8d |
| C2 | 54.46.19.123 |
四、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
