c7c7娱乐平台

首页 > 关于c7c7娱乐平台 > 新闻动态 > 产品动态

实测！c7c7娱乐平台天珣EDR闭环偷袭“海莲花”样本

宣布时间 2025-11-12

近期，，，，，高级一连性威胁（APT）组织“海莲花”（OceanLotus）再度活跃。。。。。。其投放的新型样本接纳高度隐藏的攻击手法，，，，，对我国部分重点目的实验定向渗透，，，，，对企业和机构的数据清静组成严重威胁。。。。。。

该样本主要接纳以下四类手艺手段：

一是隐藏化植入：滥用正当MST流程，，，，，规避通例清静检测；；；；；

二是长期化驻留：通过注册表自启动项实现系统恒久控制；；；；；

三是内存化执行：接纳模�？？？？轱慰盏仁忠眨�，，，，对抗新闻态剖析；；；；；

四是模�？？？？榛ㄑ叮阂览导用苄奶隒&C效劳器通讯，，，，，实现远程操控。。。。。。

面临此类组织性强、手段隐藏的APT攻击，，，，，实现从入侵感知到行为阻断的全链路防护，，，，，已成为终端清静的焦点挑战。。。。。。

本文基于c7c7娱乐平台天珣EDR对“海莲花”最新样本的实测历程，，，，，先容怎样依托其“未知威胁感知、立体防护网络、快速应急响应、情报驱动进化”等能力，，，，，有用应对此类高级威胁。。。。。。

系统改动实时感知

“海莲花”攻击者运行正当的WindowsPCHealthCheckSetup.msi装置包，，，，，该装置包会在%LOCALAPPDATA%中建设名为PCHealthCheck的文件夹，，，，，将装置包中的正当程序PCHealthCheck.exe复制至此。。。。。。而攻击者在下令后半部分附加的mst文件会被剖析，，，，，释放恶意模�？？？？閠bs.dll到PCHealthCheck.exe所在文件夹，，，，，同时添加名为PCHealthCheck的自启动项，，，，，并将其指向PCHealthCheck.exe文件。。。。。�；；；；；诖瞬僮鳎�，，，，可实现正当的PCHealthCheck.exe开机自启动，，，，，自动加载恶意的tbs.dll与攻击者举行通讯，，，，，控制受害者机械。。。。。。

图片1.png

图1建设正当程序和恶意DLL模�？？？？�

图片2.png

图2添加乐成的注册表自启动项

天珣EDR实时监控注册表自启动项、自启动文件夹、妄想使命等系统要害位置变换，，，，，确保对改动行为的实时响应。。。。。。

如图3、图4所示，，，，，历程ID为2536的msiexec.exe历程将PCHealthCheck.exe添加为注册表自启动项，，，，，触发了天珣EDR系统改动防护功效的自启动项增添告警，，，，，实时捕获其长期化驻留妄想，，，，，从攻击链第一步阻止其伸张。。。。。。

图片3.png

图3天珣EDR爆发自启动项增添告警

图片4.png

图4天珣EDR自启动项增添告警详情

恶意行为智能识别与阻断

“海莲花”攻击者在使用msiexec装置PCHealthCheck时，，，，，会指定特殊的mst文件执行特殊操作：释放恶意模�？？？？閠bs.dll到PCHealthCheck.exe所在文件夹，，，，，添加名为PCHealthCheck的自启动项，，，，，并将其指向PCHealthCheck.exe文件。。。。。。

图片5.png

图5MsiExec.exe剖析mst文件后的写文件、注册表操作

天珣EDR依托内置行为引擎，，，，，可以对历程的文件行为、注册表项行为、历程行为等举行综合评估，，，，，一旦综合评估抵达敏感行为规则阈值，，，，，则判断该执行文件为恶意文件。。。。。。

如图6、图7所示，，，，，“海莲花”攻击者在使用msiexec装置PCHealthCheck时，，，，，指定特殊的mst文件执行了特殊操作。。。。。。天珣EDR就可以基于文件行为、注册表行为剖析判断该历程为APT32恶意历程，，，，，爆发响应的弹窗告警，，，，，在要害链路上自动阻挡历程，，，，，实现“行为级”消杀。。。。。。

图片6.png

图6天珣EDR行为引擎告警

图片7.png

图7天珣EDR行为引擎告警的举证信息

网络行为周全留痕与检测

“海莲花”样本与C&C效劳器建设基于HTTP协议的网络毗连，，，，，每隔30秒发送一次心跳包，，，，，实验从C&C效劳器获取主机信息、枚举历程、文件上传下载以及下令执行等恶意控制指令。。。。。。

图片8.png

图8“海莲花”样本发送加密内容

天珣EDR可以完整纪录终端所有外联通讯行为，，，，，包括通讯IP、端口、协议等要害信息，，，，，周全笼罩网络行为轨迹。。。。。。

如图9、图10所示，，，，，天珣EDR监控到终端上“海莲花”样内情关历程pchealthcheck.exe提倡了TCP网络毗连139.162.62.239:8001，，，，，为后续威胁溯源与关联剖析提供了有用数据支持。。。。。。

图片9.png

图9天珣EDR监测“海莲花”样本网络毗连日志

图片10.png

图10天珣EDR监测“海莲花”样本网络毗连日志详情

除了对网络信息的纪录，，，，，天珣EDR与c7c7娱乐平台VenusEye威胁情报库深度联动，，，，，通过融合外地检测数据与云端威胁情报，，，，，构建动态更新的防护机制，，，，，一连检测并抵御“海莲花”APT及其变种攻击，，，，，实现清静危害的早发明、快响应。。。。。。

图片11.png

图11天珣EDR外地情报中“海莲花”相关威胁情报信息

图片12.png

图12天珣EDR外地情报中“海莲花”相关威胁情报信息详情

在高级威胁一连演进的配景下，，，，，终端防护的要害在于建设一连有用的对抗能力。。。。。。c7c7娱乐平台天珣EDR通过“检测—防护—响应—迭代”闭环清静系统，，，，，构建一个能够自我优化、动态调解的终端防御机制，，，，，为种种终端应对高级威胁提供可靠屏障。。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? c7c7娱乐平台版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】