【天穹】暗度陈仓:银狐白利用技术升级
01概述天穹沙箱近期捕获并深度分析了一类具备环境自适应能力的高级恶意样本。这些样本在初始执行阶段会主动探测系统是否安装 360sd.exe 或 ZhuDongFangYu.exe,并根据探测结果动态切
阅读全文【天穹】浮出水面:隐匿于DoH之下的C2通信
01 概述近期,天穹沙箱团队在日常样本分析工作中收到用户反馈的内网攻击样本,发现其具备高度复杂的攻击链,并且使用了极具隐蔽性的 C&C 通信方式,以下将详细拆解样本初始伪装、内存解密以及隐蔽通信的完整
阅读全文把“龙虾”装进天穹,高危风险全链检测
一、概述2026 年初,开源 AI 智能体 OpenClaw(昵称“龙虾”)凭借本地部署、自主执行指令的特性迅速走红,引发“养龙虾”热潮,国内云平台及社交平台纷纷提供部署与代装服务。然而,工信部与国家
阅读全文【天问】飞驰的AI列车下的隐患:litellm AI供应链投毒事件分析
2026年3月24日,作为AI开发核心枢纽的 litellm 网关遭遇供应链投毒攻击,大量使用者的密钥与敏感信息被窃取,再次暴露出当前 AI 供应链体系的安全隐患。天问供应链威胁监测模块是奇安信技术研
阅读全文【天问】PyPI 恶意包分析:jsonconfig-utils 内置 RAT 后门及多平台持久化
天问Python供应链威胁监测模块发现 PyPI 中存在恶意包 jsonconfig-utils,该包以 JSON 配置工具为掩护,在 setup.py 中内嵌了完整攻击链。攻击者在安装阶段即可完成反
阅读全文【天穹】新年伊始,未知文件别乱点
一、概述近期,天穹沙箱团队在常规样本狩猎分析工作中,发现 XRed 家族最新变种—一款基于 Delphi 编写的蠕虫病毒,该样本通过伪装成合法软件、多进程落地执行等手段,试图规避安全检测,并实现对受害
阅读全文【天问】发现针对CI/CD的PyPI恶意包投毒攻击
天问监测模块在2026年2月发现了一批针对CI/CD的恶意软件包,通过包名伪装来诱导用户下载,在依赖安装阶段隐蔽执行恶意代码,从而窃取CI运行环境中的构建元数据与敏感环境变量。天问供应链威胁监测模块是
阅读全文《Ollama网络安全态势监测2025年度报告》预览版
2025年2月14日,南开大学AOSP实验室首次向国家有关部门披露公网暴露的Ollama服务(默认端口11434)存在未授权访问风险,并推动安全预警发布。此后,基于自主研发的XMap全网扫描器,我们开
阅读全文星图实验室接棒玄武实验室,完成底层密码学库漏洞的最终修复
前情提要 -----------在2025 年 8 月,腾讯玄武实验室的阿图因自动化漏洞挖掘引擎在零知识证明库 gnark 中发现了一个高危漏洞(CVE-2025-57801,CVSS 8.6)。
阅读全文【天穹】层层递进,“狐”影随行
01概 述近期,天穹沙箱团队在追踪银狐家族的攻击活动时,发现其最新样本采用了高度复杂且极具迷惑性的攻击链。该攻击链通过多阶段反调试检测、伪装合法软件安装、内存反射加载等技术,并结合隐蔽的进程注入与DL
阅读全文【论文分享】被滥用的信任:Windows 代码签名滥用测量研究
一、代码签名沦为恶意软件的“护身符”当你在运行某个软件时,看到如下所示的弹框,“已验证的发布者:XXX有限公司”,你是否会不假思索地点击“是”?然而,大量安全事件表明这样的信任已经被攻击者滥用,看似安
阅读全文【论文分享】从混乱到清晰:面向安全分析的综合性JavaScript反混淆
一、当恶意代码穿上”隐身衣”:JavaScript混淆的现实威胁打开一个可疑的JavaScript文件,你可能会看到这样的代码:这不是乱码,而是攻击者精心设计的”隐身衣”——JavaScript代码混
阅读全文【论文分享】从噪声到信号:如何在千万级软件包中精准定位漏洞影响?
一、引言:软件供应链安全的“狼来了”困境想象这样一个场景:你是一名开发者,每天打开 CI/CD 系统,迎接你的是数百条安全警报——“检测到依赖包存在高危漏洞,请立即修复!” 但当你花费大量时间逐一排查
阅读全文【论文分享】大模型服务框架的缓存相关威胁分析
在大模型(LLM)服务极速发展的当下,效率至关重要。为了降低延迟并控制算力成本,主流推理框架广泛引入了先进的缓存机制。然而,这种追求极致速度的设计是否埋下了安全隐患?本论文是由奇安信技术研究院、中国海
阅读全文【喜报】4篇研究成果被国际顶级会议NDSS 2026录用
近日,国际顶级学术会议 NDSS 2026(Network and Distributed System Security Symposium)公布录用结果,奇安信技术研究院合作完成的4篇论文成功被录
阅读全文【天穹】沙箱赋能纵深防御,BYOVD 攻击无处遁形
01概述近期,天穹沙箱团队观察到 BYOVD(Bring Your Own Vulnerable Driver) 技术正被越来越多的高级威胁组织(如 APT29、Lazarus 及勒索软件团伙)用于绕
阅读全文【天穹】图穷匕见:HTA-ZIP 复合文件攻击
01概述在天穹沙箱日常运营分析过程中,监测到扩展名为 .hta 的文件,但其实际文件头却显示为 ZIP 格式,表明这类样本在文件类型上存在刻意伪装。为探究其攻击手法与规避原理,我们对该样本展开了深入分
阅读全文【天穹】压缩包也能“越狱”?天穹沙箱新增目录穿越检测能力
01概述在 Windows 系统中,压缩包(如 RAR、ZIP、7z 等)作为常见的文件分发载体,因其便捷性和通用性被广泛使用。然而,攻击者常利用压缩软件的目录穿越漏洞(如 CVE-2025-8088
阅读全文DataCon2025报名启动:用数据,守护未来! (文末抽奖)
PART.01竞赛开启,网安集结在互联网威胁对抗悄然升级的当下,DataCon大数据安全分析竞赛犹如一颗璀璨的明星,照亮了网安人才前行的道路。10月17日DataCon2025报名通道开启,11月5日
阅读全文SDC2025 精彩议题预告 | ReCopilot:基于大模型的二进制逆向工程助手
11议题简介《ReCopilot:基于大模型的二进制逆向工程助手》ReCopilot 是一个基于大模型的二进制程序分析辅助系统,针对逆向工程中符号信息缺失和人工依赖程度高的核心挑战,提出垂域大模型与程
阅读全文【天穹】赋能高效分析,情报智能体全面上线!
01升级与优化天穹智能分析平台近期完成全面升级,新增多项功能,并根据用户反馈进行了系统性优化。本次升级重点体现在以下三个方面:情报智能体正式上线;智能问答响应速度显著提升;样本与网络地址详情页全面更新
阅读全文开学了!奇安信集团新一届卓越工程师正式入企实践
9月1~3日,奇安信集团卓越工程师培养基地开学典礼在奇安信安全中心举行。来自清华大学、上海交通大学、北京邮电大学、北京航空航天大学、山东大学、东南大学、武汉大学、华中科技大学等8所高校的26名工程硕博
阅读全文【天穹】CVE-2025-8088来袭,天穹沙箱精准检测!
一、简介近期,WinRAR 曝出存在目录穿越漏洞(CVE-2025-8088),攻击者可构造恶意压缩包实现目录穿越,将任意文件写入到系统盘的任意位置。攻击者利用此漏洞可将恶意载荷(Payload)释放
阅读全文【天穹】HVV专题:典型HVV样本总结与IOC收集(第七期)
一、概述在网络安全攻防演练第四周的末期,天穹团队延续高频分析节奏,系统梳理样本演化脉络,结合多维检测引擎与攻击链建模技术,形成以下核心观察结论:传播策略优化维持攻击流量高位监测数据显示,攻击流量曲线第
阅读全文ReCopilot 重磅更新:SimAI 二进制代码同源检索引擎正式集成!
在逆向工程领域,识别二进制代码的来源和功能一直是一个极具挑战性的任务。面对未知的二进制文件,逆向工程师往往需要花费大量时间来分析代码行为,猜测其可能使用的开源组件或库函数。传统的字符串匹配方法在面对不
阅读全文【天穹】HVV专题:典型HVV样本总结与IOC收集(第六期)
一、概述在网络安全攻防演练第四周的窗口期,天穹团队保持高频度的样本分析节奏,通过多维检测引擎与攻击链建模技术,形成以下核心观察结论:攻击流量持续攀升,传播策略持续强化监测数据显示,攻击流量曲线于第四阶
阅读全文【天穹】HVV专题:典型HVV样本总结与IOC收集(第二期)
一、概述在网络安全攻防演练第二周的关键窗口期,天穹团队在首周基础上持续深化样本分析工作,通过多维检测引擎与攻击链建模技术,形成以下核心观察结论:攻击流量呈快速线性增长态势平台捕获的恶意样本数量呈现爆发
阅读全文HVV专题:典型HVV样本总结与IOC收集(第一期)
一、概述在 HVV 行动首周的网络安全攻防实战中,天穹沙箱作为关键检测分析组件,持续支撑前线样本投递与威胁识别工作,对用户提交的疑似恶意样本进行自动化动态分析与智能威胁溯源。通过对首周沙箱运行数据与分
阅读全文【喜报】奇安信集团研究成果在国际顶会IEEE S&P 2025中宣讲报告
在刚刚结束的网络安全国际顶级会议46th IEEE Symposium on Security and Privacy(简称 IEEE S&P 2025)中,奇安信技术研究院星图实验室的研究成果在会议
阅读全文