尊龙凯时

首页 > 关于尊龙凯时 > 新闻动态 > 产品动态

实测！尊龙凯时天珣EDR闭环偷袭“海莲花”样本

宣布时间 2025-11-12

近期，高级一连性威胁（APT）组织“海莲花”（OceanLotus）再度活跃。其投放的新型样本接纳高度隐藏的攻击手法，对我国部分重点目的实验定向渗透，对企业和机构的数据清静组成严重威胁。

该样本主要接纳以下四类手艺手段：

一是隐藏化植入：滥用正当MST流程，规避通例清静检测；

二是长期化驻留：通过注册表自启动项实现系统恒久控制；

三是内存化执行：接纳�？轱慰盏仁忠�，对抗新闻态剖析；

四是�？榛ㄑ叮阂览导用苄奶隒&C服务器通讯，实现远程操控。

面临此类组织性强、手段隐藏的APT攻击，实现从入侵感知到行为阻断的全链路防护，已成为终端清静的焦点挑战。

本文基于尊龙凯时天珣EDR对“海莲花”最新样本的实测历程，先容怎样依托其“未知威胁感知、立体防护网络、快速应急响应、情报驱动进化”等能力，有用应对此类高级威胁。

系统改动实时感知

“海莲花”攻击者运行正当的WindowsPCHealthCheckSetup.msi装置包，该装置包会在%LOCALAPPDATA%中建设名为PCHealthCheck的文件夹，将装置包中的正当程序PCHealthCheck.exe复制至此。而攻击者在下令后半部分附加的mst文件会被剖析，释放恶意�？閠bs.dll到PCHealthCheck.exe所在文件夹，同时添加名为PCHealthCheck的自启动项，并将其指向PCHealthCheck.exe文件�；诖瞬僮�，可实现正当的PCHealthCheck.exe开机自启动，自动加载恶意的tbs.dll与攻击者举行通讯，控制受害者机械。

图片1.png

图1建设正当程序和恶意DLL�？�

图片2.png

图2添加乐成的注册表自启动项

天珣EDR实时监控注册表自启动项、自启动文件夹、妄想使命等系统要害位置变换，确保对改动行为的实时响应。

如图3、图4所示，历程ID为2536的msiexec.exe历程将PCHealthCheck.exe添加为注册表自启动项，触发了天珣EDR系统改动防护功效的自启动项增添告警，实时捕获其长期化驻留妄想，从攻击链第一步阻止其伸张。

图片3.png

图3天珣EDR爆发自启动项增添告警

图片4.png

图4天珣EDR自启动项增添告警详情

恶意行为智能识别与阻断

“海莲花”攻击者在使用msiexec装置PCHealthCheck时，会指定特殊的mst文件执行特殊操作：释放恶意�？閠bs.dll到PCHealthCheck.exe所在文件夹，添加名为PCHealthCheck的自启动项，并将其指向PCHealthCheck.exe文件。

图片5.png

图5MsiExec.exe剖析mst文件后的写文件、注册表操作

天珣EDR依托内置行为引擎，可以对历程的文件行为、注册表项行为、历程行为等举行综合评估，一旦综合评估抵达敏感行为规则阈值，则判断该执行文件为恶意文件。

如图6、图7所示，“海莲花”攻击者在使用msiexec装置PCHealthCheck时，指定特殊的mst文件执行了特殊操作。天珣EDR就可以基于文件行为、注册表行为剖析判断该历程为APT32恶意历程，爆发响应的弹窗告警，在要害链路上自动阻挡历程，实现“行为级”消杀。

图片6.png

图6天珣EDR行为引擎告警

图片7.png

图7天珣EDR行为引擎告警的举证信息

网络行为周全留痕与检测

“海莲花”样本与C&C服务器建设基于HTTP协议的网络毗连，每隔30秒发送一次心跳包，实验从C&C服务器获取主机信息、枚举历程、文件上传下载以及下令执行等恶意控制指令。

图片8.png

图8“海莲花”样本发送加密内容

天珣EDR可以完整纪录终端所有外联通讯行为，包括通讯IP、端口、协议等要害信息，周全笼罩网络行为轨迹。

如图9、图10所示，天珣EDR监控到终端上“海莲花”样内情关历程pchealthcheck.exe提倡了TCP网络毗连139.162.62.239:8001，为后续威胁溯源与关联剖析提供了有用数据支持。

图片9.png

图9天珣EDR监测“海莲花”样本网络毗连日志

图片10.png

图10天珣EDR监测“海莲花”样本网络毗连日志详情

除了对网络信息的纪录，天珣EDR与尊龙凯时VenusEye威胁情报库深度联动，通过融合外地检测数据与云端威胁情报，构建动态更新的防护机制，一连检测并抵御“海莲花”APT及其变种攻击，实现清静危害的早发明、快响应。

图片11.png

图11天珣EDR外地情报中“海莲花”相关威胁情报信息

图片12.png

图12天珣EDR外地情报中“海莲花”相关威胁情报信息详情

在高级威胁一连演进的配景下，终端防护的要害在于建设一连有用的对抗能力。尊龙凯时天珣EDR通过“检测—防护—响应—迭代”闭环清静系统，构建一个能够自我优化、动态调解的终端防御机制，为种种终端应对高级威胁提供可靠屏障。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号