【天穹】HVV专题:典型HVV样本总结与IOC收集(第七期)
/ / 点击 / 阅读耗时 18 分钟一、概述
在网络安全攻防演练第四周的末期,天穹团队延续高频分析节奏,系统梳理样本演化脉络,结合多维检测引擎与攻击链建模技术,形成以下核心观察结论:
- 传播策略优化维持攻击流量高位
- 监测数据显示,攻击流量曲线第四阶段末期与第三周观测数据形成高位持平态势,这一现象表明攻击者正通过传播策略的动态优化,构建起可持续的攻击强度维持机制。
- 攻击技法多维演进加速威胁扩散
- 架构创新:基于“白加黑”(White + Black)混合架构的攻击载荷日均投递量持续保持高位运行,展现出攻击者对传统安全防护体系的深度适配能力。
- 检测对抗:新增多种创新型对抗手段,特别值得关注的是小众脚本语言的免杀利用技术,显著提升了攻击载荷的隐蔽性和突防能力。
- 行业渗透:攻击目标呈现显著的跨行业扩散特征,攻击覆盖面持续扩张,已形成多维度、立体化的攻击面拓展态势。
- 定制化攻击聚焦关键行业目标
- 金融基础设施、通信行业、政务云平台、航空、互联网等领域成为定向攻击核心标的,攻击行为展现出深度行业特性的定制化技术特征。
天穹沙箱温馨提示: 若您收到可疑链接或文件,切勿直接点击或运行!可优先投递至奇安信天穹沙箱进行风险鉴定,通过专业的动态行为检测与威胁情报匹配,精准识别潜在安全风险。使用天穹沙箱过程中,如您遇到任何问题(如样本投递失败、分析结果存疑等),可随时联系我们,我们将第一时间为您提供技术支持与解答。
二、典型样本分析
1、压缩包
1.1 样本一
样本名:XXX秋招提前批定向邀请.zip
SHA1:daf9c2e04688c0f044487b669f4439ea06e7f70b
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
47.93.134.232:43401 (CDN IP)
报告链接:天穹沙箱分析报告
描述:该恶意程序采用高度定向的攻击策略,以秋季校园招聘岗位应聘为社交工程诱饵,针对特定目标群体实施精密入侵。其攻击链分阶段展开,技术实现具有显著隐蔽性与创新性:
- 初始渗透阶段:样本通过 LNK 快捷方式文件触发,指向系统自带的 ftp.exe 工具,利用其
-s参数隐蔽执行恶意指令。该指令实现双重操作:一方面启动后续攻击载荷,另一方面通过浏览器访问预设网页制造正常活动假象以迷惑受害者。 - 动态脚本执行阶段:后续攻击载荷通过
z.exe a\z.fsscript命令触发,其中 z.exe 为 F# 语言 编写的脚本解释器,负责解析执行配套的 z.fsscript 脚本文件。采用 F# 这一相对小众的函数式编程语言,有效规避了基于传统编程语言的静态检测机制。 - 进程注入阶段:创建挂起状态的傀儡进程(自身镜像),通过跨进程内存写入技术将 Shellcode 载荷注入目标进程空间,恢复进程线程执行状态,触发恶意代码执行。
- 隐蔽通信阶段:注入的 Shellcode 采用自定义协议构建通信通道,突破传统网络检测手段。该通道具备流量特征混淆能力,可有效隐藏 C&C 服务器通信行为,实现持久化控制与数据外传。
整个攻击过程通过多层级载荷投递、非常规编程语言利用、进程级内存操作等技术组合,形成低检测率、高隐蔽性的新型 HVV 攻击范式。
- 初始渗透阶段:样本通过 LNK 快捷方式文件触发,指向系统自带的 ftp.exe 工具,利用其
1.2 样本二
样本名:XXXX有限责任公司2025企业财保清单.zip
SHA1:8feefb89ee6ab1e930d0f9961450386b22b111c1
文件类型:ZIP
样本家族:CobaltStrike
C2:
1
2
3
4
5伪装URL:
http[:]//ewxoqm.lskje.com/omp/api/get_page_config
真实URL:
http[:]//223.247.117.56/omp/api/get_page_config (CDN IP)报告链接:天穹沙箱分析报告
描述:该恶意样本采用复合式攻击策略,通过精心构造的 LNK 快捷方式文件定向调用 MACOS 系统隐藏目录下的 QBDelayUpdate.exe 可执行文件。攻击者通过篡改该程序关键路径函数的代码段实现控制流劫持,建立隐蔽的代码注入通道。该组件会动态读取同级目录的 update.pack 加密载荷包,经多层解密算法处理后执行模块化载荷分离。值得关注的是,其采用高级的 HOST 伪装技术,通过模拟合法域名结构向
223.247.117.56:80/omp/api/get_page_config发起加密通信,实现阶段式载荷投递并在内存空间完成持久化驻留,形成完整的无文件攻击链。威胁配置信息
1.3 样本三
样本名:样本2.7z
SHA1:0c20edbe5c608dbb02e837395695ae1721e353a2
文件类型:7Z
样本家族:CobaltStrike
C2:
1
https[:]//service-tencentcloud-1317709866.sh.apigw.tencentcs.com/api/v1/get
报告链接:天穹沙箱分析报告
描述:该恶意样本通过侧加载技术实现初始载荷执行,具体行为特征如下:
- 持久化部署:首先在临时目录
%Temp%\data完成自我复制,并通过创建进程副本实现自我启动。 - 载荷解密:读取同目录下经过加密处理的 ini 配置文件,在内存空间完成动态解密与载荷注入。
- 隐蔽通信:采用 HOST 文件篡改技术实现域名伪装,通过 HTTPS 协议与
https[:]//service-tencentcloud-1317709866.sh.apigw.tencentcs.com/api/v1/get建立加密通信通道。 - 内存驻留:解密后的恶意模块直接在内存中加载运行,避免形成持久化的磁盘文件。
该攻击链设计体现了“无文件化”和“低痕迹”的恶意软件特征,通过加密载荷与域名伪装技术有效规避传统检测手段。
- 持久化部署:首先在临时目录
威胁配置信息
2、其他类型
2.1 样本一
样本名:XXXX国际机场数据XXXX提升项目(硬件)项目质疑函.exe
SHA1:488a2c71f926516f0a7957a6ea4a0902d815fb7b
文件类型:EXE
样本家族:CobaltStrike
C2:
1
https[:]//47.117.67.29:443/iQF19QLV
报告链接:天穹沙箱分析报告
描述:该恶意样本通过多阶段加密通信实现隐蔽攻击,其完整执行流程如下:
样本首先从
47.117.67.29/hello.bin下载第一阶段加密 Shellcode,采用 RC4 流加密算法进行解密处理。解密后的有效载荷为标准的 Cobalt Strike Stager 模块,该组件负责建立基础通信隧道。成功部署后,Stager 模块通过 HTTPS 协议(47.117.67.29:443/iQF19QLV)请求第二阶段加密 Shellcode。此阶段载荷采用自定义异或算法实现自解密机制,有效规避静态检测。
解密后的最终载荷通过 API 接口(47.117.67.29/api/xxx)与 C2 服务器建立持久化通信通道。该接口支持动态指令下发与数据回传,形成完整的攻击生命周期管理。
整个攻击链采用分层加密(RC4 + XOR)与多协议跳转(HTTP / HTTPS 混合)技术,结合 Cobalt Strike 框架的标准战术,实现从初始渗透到持久化控制的完整攻击流程。
威胁配置信息
2.2 样本二
样本名:11.x64.exe
SHA1:69cf7607877c576524c5d6aa6f143cba79344594
文件类型:EXE
样本家族:CobaltStrike
C2:
1
https[:]//eevwe0wb0txy4.cfc-execute.gz.baidubce.com:443/api-v2/sms/phone/userContactInfo
报告链接:天穹沙箱分析报告
描述:该恶意样本采用社会工程学手段,通过伪造 Excel 文档图标实施诱骗攻击。在用户触发后,恶意程序会同步释放与之同名的 xlsx 文件并自动执行打开操作,形成“双文件伪装”的迷惑机制,有效降低用户对异常行为的警惕性。
进入攻击核心阶段时,该样本采用多层动态解密技术释放初始阶段 Shellcode,并利用 Windows 输入法管理模块中的 ImmEnumInputContext 系统函数回调机制,实现无文件落地的 Shellcode 内存注入执行。成功突破系统防御后,恶意载荷通过预设加密通道
https[:]//eevwe0wb0txy4.cfc-execute.gz.baidubce.com/api-v2/sms/phone/userContactInfo构建隐蔽通信链路。威胁配置信息
三、IOC 福利
HVV IOC
| 样本名 | javav.exe |
| MD5 | 3e919f4e760ea1a2c93a6d473549452d |
| C2 | 39.98.114.187:8443 (CDN IP) |
| 样本名 | chrome.exe |
| MD5 | cb31d7d26cba85f79341ab26d10adcd0 |
| C2 | https[:]//114.55.101.34:443/s?ie=utf-8&f=8 (CDN IP) |
| 样本名 | XXXXXX保险股份有限公司XX分公司教育部供需对接就业育人项目相关材料.exe |
| MD5 | a54f576874d9633fe2d0f0644141af3f |
| C2 | https[:]//x-1329736259.cos.ap-beijing.myqcloud.com/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUDJIIBGPDBBKNNMFMLKOIJOLJEKOCBBDPGGKCJAFDLJEELKBLLGJKOHNPFNNJHPHFELJKOBNALFMEJBHKCCCLEMPOCFCMJAAKJIPNKOMHMPHPHLBELEGJAGHNNGGKEHEMPKHICKIHAEJPECJILMJBEMNHAJLAMOOLHECOHNDCCGONELNOFCIKPNDNLLEJAMNJBHPMJNCOOOGILEJDKDOBKPKABCNOHHGEHKEGNHOLHLPEJHIFMKBMJLGGEGJKJFCD.cab |
| 样本名 | 1.x64.exe |
| MD5 | 8e97d4a5f35ec73b8d82195ee93cff83 |
| C2 | 39.99.144.188:80 (CDN IP) |
| 样本名 | (XXXX分)XXX认证申请书_202507.exe |
| MD5 | 4dee60611ed214d30e1078b0d23085fd |
| C2 | https[:]//x-1329736259.cos.ap-beijing.myqcloud.com/c/msdownload/update/others/2021/10/BnkdkVoKtNRf7CvUGIPGJOAJHJMENEDEFLLOBGKOPLHNKFFELPGBGMKDEOGFIJADCKJICMMMDNJOMEGCEBOGGHEGFIGANBCIJNGKJFFCEFJIJHIMNANILMEAEIPNGDOFHMNLMOKODDLKAEGBAIKBIMHHNKCJCJIHAOPDICEGIOKDLOPHCNBPHGMMEDKKJFALCAEOMFFCADCPFHLAHHGCDJPLOMCOINAFDKOPGPIDJCNNGCGGJOPNIBIIHDHAMMDELGAADNDKPOMFMBME.cab |
| 样本名 | cache.zip |
| MD5 | a9827b12805eb8884f0a5a1069c54311 |
| C2 | https[:]//14.215.172.141:443/webwx/res/json3.min.js (CDN IP) |
| 样本名 | Desktop.zip |
| MD5 | 7a8a0118183ce951bb0b124a1f6a4b04 |
| C2 | http[:]//42.202.165.132/chunks/polyfills-c67a75d1b6f99dc8.js (CDN IP) |
| 样本名 | 2025-6-5-10-UfzJnPhRho-Public.rar |
| MD5 | 587d9a283af1594d86041cc9a3bef1fe |
| C2 | 47.98.194.60 (CDN IP) |
| 样本名 | 关于五大任务关键领域论文征集表.iso |
| MD5 | a7f7745b117b71ebaff7ae976cfbe48d |
| C2 | http[:]//39.96.195.189:443/ (CDN IP) |
| 样本名 | 《XXX·XXXX》——XXXXXX集团“硬核科技×文化新声”原创系列.zip |
| MD5 | ca4afaf46f93a15410e49838551a3f7b |
| C2 | https[:]//36.99.86.14/api/ip2city (CDN IP) |
| 样本名 | 意外保单材料.7z |
| MD5 | b16b3249326de40722baee078cef9cf7 |
| C2 | http[:]//223.247.117.56/omp/api/get_page_config (CDN IP) |
银狐 IOC
| 样本名 | a2025-年 第 二 季 度 违 规 内 职 人 员 名 单 信 息asjiewrsdnivirnrywcwevrajfiwrbened (7).exe |
| MD5 | df56dd886a808a22b506888f817717d9 |
| C2 | 13.114.145.229 (CDN IP) |
| 样本名 | Explorer-2Setup.exe |
| MD5 | ce7d35afcc77b1610afef024ff72892a |
| C2 | 18.162.240.37 (CDN IP) |
| 样本名 | STZIAZID.msi |
| MD5 | 9d0b4614030c4a39470cdb2a96853d35 |
| C2 | inchoateacc.pro |
| 样本名 | ef6843f45792eb30f9f7aaca3eee7d18.rar |
| MD5 | ef6843f45792eb30f9f7aaca3eee7d18 |
| C2 | qds.kongzzzqhjw.cn |
| 样本名 | f940fc57daa2533c8f35d65e8f476250 .zip |
| MD5 | f940fc57daa2533c8f35d65e8f476250 |
| C2 | 38.181.20.6 (CDN IP) |
| 样本名 | dingding2025_setupms.exe |
| MD5 | 546c3335926ef6d49730110ca6724fa8 |
| C2 | 154.211.90.130 (CDN IP) |
| 样本名 | Sig2025.07.21(名单).zip |
| MD5 | 549706525579b6c7c5671130d144909d |
| C2 | fsdnojnnpatkl.cn |
| 样本名 | WindowsData.zip |
| MD5 | 88c4a947d7dcf5883e5701bb88dc0792 |
| C2 | www[.]ndacfwq.com |
四、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
