当“银狐”变种通过企业微信群发“税务稽查通知”,当医疗机构员工点开伪造的”2025医保结算单更新程序“......如今越来越多企业人员正成为黑产猖狂攻击企业的跳板。而面对技术快速迭代的黑产,企业传统安全防线约等于零防护。为避免被检测到,黑产团伙从“社工伪装”,到“终端免杀”,再到“隐身对抗”,构建起了一整套“攻击链隐身术”,显著加大了检测与溯源难度,将企业拖入了一场极不对等的攻防对抗之中。
微步黑产猎人:全面、深度,全链路透视猎杀
针对当前利益驱动、传播路径多样、对抗性强、变化频繁,且潜在危害极大的活跃黑产威胁,微步云沙箱S与沙箱分析平台OneSandbox推出 “黑产猎人”专项检测能力,对黑产样本执行过程中的全攻击链路痕迹进行全面深度检测。检测载体覆盖样本本身、子文件、内嵌文件、远程载荷、释放文件和内存文件,以及主机行为日志和网络流量,融合静态特征检测、威胁情报检测、动态行为检测等多种检测技术,可精准识别各类黑产攻击。
多阶段攻击链狩猎:击穿黑产分段隐身术
针对黑产工具的分段式攻击链,微步沙箱黑产猎人可进行全链路行为还原。基于自研引擎,微步沙箱黑产猎人从文件本体到压缩包、内嵌资源、释放文件、内存Dump等均可进行深度扫描,可识别多种打包方式和典型特征,并还原攻击链路,如从初始文件“材料附件exe”, 到后续的”下载URL“、”下载载荷“和“释放文件”等全部攻击载体,同时输出完整的病毒家族与攻击描述,解决由于攻击链还原脱节或检测不深入,导致忽略样本“分段隐身”的情况。
微步云沙箱S黑产猎人对“银狐“攻击载体的还原
以微步云沙箱捕获的“银狐”黑产样本“材料附件.exe”为例,“黑产猎人-攻击载体”功能可以完整还原攻击中涉及的攻击载体,并以可视化的方式进行呈现。
多维度调查取证:锁定黑产攻击痕迹线索
基于对多阶段攻击链路的狩猎与还原,结合多维与深度检测技术,“黑产猎人-调查取证”和“黑产猎人-线索追踪”会对黑产样本执行过程中的各种痕迹进行分析检测,识别不同载体所属攻击执行阶段、攻击路径线索及具体威胁,可支撑防守方了解黑产攻击手法、攻击行为以及响应处置等操作,缓解攻防不对等态势。
云沙箱S“黑产猎人”对黑产攻击痕迹和线索的揭露
以黑产样本“关于【个税返还】具体详情!2025-05-20-18-12.exe”为例,“黑产猎人”从静态引擎、威胁情报及动态行为等角度检测到黑产相关特征,其中释放文件“shell.txt”被检测属于SilverFox变种Trojan/SilverFox.al,该文件属于要执行关键恶意代码的Payload阶段,并提取了释放文件哈希,及其释放路径“C:shell.txt”。防守方在分析和处置相关威胁时,可参考这些信息线索,联动边界设备拦截、撰写终端检测规则、评估是否中招失陷等。
动态行为检测:终结静态免杀与高频变化
微步沙箱通过模拟用户真实运行环境,主动触发并采集样本相关行为,将长期研究黑产的专家经验转化为规则,从”主机行为“与“网络行为”双视角,精准提炼黑产活动常见行为。其中主机侧覆盖了样本执行立足、对抗绕过、信息收集、文件相关、进程操作等维度,网络侧则涵盖侦察对抗、服务滥用和通信特点等维度,综合主机和网络行为揭示黑产常见行为特征并进行动态行为判定,让黑产免杀样本露出“原形”。
微步云沙箱S黑产猎人对攻击样本动态行为分析
最终,基于动态行为与静态特征,系统可自动生成行为判定描述,即便在无最新情报匹配时,也可给出判定,确保检测不漏判。
黑产攻击不是一次性的攻击挑战,而是一场攻击手法不断进化、伪装技术持续迭代的长期对抗。当攻击手法、伪装方式快速演变时,防守也需要持续更新与升级。基于这样的理解和认知,微步自2021年开始从网络安全“场景检测”需求出发,率先推出重保检测,并陆续推出CS检测、红队工具检测、漏洞利用检测能力,与攻击同步进化。
在黑产攻击愈演愈烈的当下,微步希望此次沙箱“黑产猎人”深度、全面的样本检测能力,不仅能给网安师傅们提供一个给力的辅助,也能为企业应对黑产攻击构建一道更强大有效的安全防线。目前针对黑产样本进行检测的”黑产猎人“,已在微步云沙箱上线,欢迎各位师傅体验:https://s.threatbook.com/。此外,微步沙箱分析平台OneSandbox也具备相关黑产检测能力,欢迎申请试用。
推荐阅读
原文始发于微信公众号(微步在线):撕掉“银狐们”的“隐身衣”:黑产猎人,上线!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论