8827太阳集团

首页 > 关于8827太阳集团 > 新闻动态 > 产品动态

实测！8827太阳集团天珣EDR关环狙击“海莲花”样本

颁布功夫 2025-11-12

近期，，，，，高级持续性威胁（APT）组织“海莲花”（OceanLotus）再度活跃。。。。。。。。其投放的新型样本选取高度荫蔽的攻击手法，，，，，对我国部门沉点指标执行定向渗入，，，，，对企业和机构的数据安全组成严沉威胁。。。。。。。。

该样本重要选取以下四类技术伎俩：

一是荫蔽化植入：滥用合法MST流程，，，，，躲避通例安全检测；；；；；；；

二是悠久化驻留：通过注册表自启动项实现系统持久节造；；；；；；；

三是内存化执行：选取模�？？？？？？轱慰盏燃际�，，，，，匹敌动静态分析；；；；；；；

四是模�？？？？？？榛ㄑ叮阂览导用苄奶隒&C服务器通讯，，，，，实现远程操控。。。。。。。。

面对此类组织性强、伎俩荫蔽的APT攻击，，，，，实现从入侵感知到行为阻断的全链路防护，，，，，已成为终端安全的主题挑战。。。。。。。。

本文基于8827太阳集团天珣EDR对“海莲花”最新样本的实测过程，，，，，介绍若何依附其“未知威胁感知、立体防护网络、急剧应急响应、谍报驱动进化”等能力，，，，，有效应对此类高级威胁。。。。。。。。

系统篡改实时感知

“海莲花”攻击者运行合法的WindowsPCHealthCheckSetup.msi装置包，，，，，该装置包会在%LOCALAPPDATA%中创建名为PCHealthCheck的文件夹，，，，，将装置包中的合法法式PCHealthCheck.exe复造至此。。。。。。。。而攻击者在号令后半部门附加的mst文件会被解析，，，，，开释恶意模�？？？？？？閠bs.dll到PCHealthCheck.exe地点文件夹，，，，，同时增长名为PCHealthCheck的自启动项，，，，，并将其指向PCHealthCheck.exe文件。。。。。。。�；；；；；；；诖瞬僮�，，，，，可实现合法的PCHealthCheck.exe开机自启动，，，，，自动加载恶意的tbs.dll与攻击者进行通讯，，，，，节造受害者机械。。。。。。。。

图片1.png

图1创建合法法式和恶意DLL模�？？？？？？�

图片2.png

图2增长成功的注册表自启动项

天珣EDR实时监控注册表自启动项、自启动文件加注打算工作等系统关键地位改观，，，，，确保对篡转业为的实时响应。。。。。。。。

如图3、图4所示，，，，，过程ID为2536的msiexec.exe过程将PCHealthCheck.exe增长为注册表自启动项，，，，，触发了天珣EDR系统篡改防护职能的自启动项增长告警，，，，，实时捉拿其悠久化驻留贪图，，，，，从攻击链第一步遏造其舒展。。。。。。。。

图片3.png

图3天珣EDR产生自启动项增长告警

图片4.png

图4天珣EDR自启动项增长告警详情

恶意行为智能鉴别与阻断

“海莲花”攻击者在使用msiexec装置PCHealthCheck时，，，，，会指定特殊的mst文件执行额表操作：开释恶意模�？？？？？？閠bs.dll到PCHealthCheck.exe地点文件夹，，，，，增长名为PCHealthCheck的自启动项，，，，，并将其指向PCHealthCheck.exe文件。。。。。。。。

图片5.png

图5MsiExec.exe解析mst文件后的写文件、注册表操作

天珣EDR依附内置行为引擎，，，，，能够对过程的文件行为、注册表项行为、过程行为等进行综合评估，，，，，一旦综合评估达到敏感行为规定阈值，，，，，则判断该执行文件为恶意文件。。。。。。。。

如图6、图7所示，，，，，“海莲花”攻击者在使用msiexec装置PCHealthCheck时，，，，，指定特殊的mst文件执行了额表操作。。。。。。。。天珣EDR就能够基于文件行为、注册表行为分析判定该过程为APT32恶意过程，，，，，产生相应的弹窗告警，，，，，在关键链路上自动拦截过程，，，，，实现“行为级”消杀。。。。。。。。

图片6.png

图6天珣EDR行为引擎告警

图片7.png

图7天珣EDR行为引擎告警的举证信息

网络行为全面留痕与检测

“海莲花”样本与C&C服务器成立基于HTTP和谈的网络衔接，，，，，每隔30秒发送一次心跳包，，，，，尝试从C&C服务器获取主机信息、枚举过程、文件上传下载以及号令执行等恶意节造指令。。。。。。。。

图片8.png

图8“海莲花”样本发送加密内容

天珣EDR能够齐全纪录终端所有表联通讯行为，，，，，蕴含通讯IP、端口、和谈等关键信息，，，，，全面覆盖网络行为轨迹。。。。。。。。

如图9、图10所示，，，，，天珣EDR监控到终端上“海莲花”样本有关过程pchealthcheck.exe提议了TCP网络衔接139.162.62.239:8001，，，，，为后续威胁溯源与关联分析提供了有效数据支持。。。。。。。。

图片9.png

图9天珣EDR监测“海莲花”样本网络衔接日志

图片10.png

图10天珣EDR监测“海莲花”样本网络衔接日志详情

除了对网络信息的纪录，，，，，天珣EDR与8827太阳集团VenusEye威胁谍报库深度联动，，，，，通过融合本地检测数据与云端威胁谍报，，，，，构建动态更新的防护机造，，，，，持续检测并招架“海莲花”APT及其变种攻击，，，，，实现安全风险的早发现、快响应。。。。。。。。

图片11.png

图11天珣EDR本地谍报钟装海莲花”有关威胁谍报信息

图片12.png

图12天珣EDR本地谍报钟装海莲花”有关威胁谍报信息详情

在高级威胁持续演进的布景下，，，，，终端防护的关键在于成立持续有效的匹敌能力。。。。。。。。8827太阳集团天珣EDR通过“检测—防护—响应—迭代”关环安整个系，，，，，构建一个可能自我优化、动态调整的终端防御机造，，，，，为各类终端应对高级威胁提供靠得住樊篱。。。。。。。。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】