GA黄金甲

首页 > 关于GA黄金甲 > 新闻动态 > 产品动态

实测！GA黄金甲天珣EDR关环狙击“海莲花”样本

颁布功夫 2025-11-12

近期，高级持续性威胁（APT）组织“海莲花”（OceanLotus）再度活跃。其投放的新型样本选取高度荫蔽的攻击手法，对我国部门沉点指标执行定向渗入，对企业和机构的数据安全组成严沉威胁。

该样本重要选取以下四类技术伎俩：

一是荫蔽化植入：滥用合法MST流程，躲避通例安全检测；

二是悠久化驻留：通过注册表自启动项实现系统持久节造；

三是内存化执行：选取�？轱慰盏燃际�，匹敌动静态分析；

四是�？榛ㄑ叮阂览导用苄奶隒&C服务器通讯，实现远程操控。

面对此类组织性强、伎俩荫蔽的APT攻击，实现从入侵感知到行为阻断的全链路防护，已成为终端安全的主题挑战。

本文基于GA黄金甲天珣EDR对“海莲花”最新样本的实测过程，介绍若何依附其“未知威胁感知、立体防护网络、急剧应急响应、谍报驱动进化”等能力，有效应对此类高级威胁。

系统篡改实时感知

“海莲花”攻击者运行合法的WindowsPCHealthCheckSetup.msi装置包，该装置包会在%LOCALAPPDATA%中创建名为PCHealthCheck的文件夹，将装置包中的合法法式PCHealthCheck.exe复造至此。而攻击者在号令后半部门附加的mst文件会被解析，开释恶意�？閠bs.dll到PCHealthCheck.exe地点文件夹，同时增长名为PCHealthCheck的自启动项，并将其指向PCHealthCheck.exe文件�；诖瞬僮�，可实现合法的PCHealthCheck.exe开机自启动，自动加载恶意的tbs.dll与攻击者进行通讯，节造受害者机械。

图片1.png

图1创建合法法式和恶意DLL�？�

图片2.png

图2增长成功的注册表自启动项

天珣EDR实时监控注册表自启动项、自启动文件加注打算工作等系统关键地位改观，确保对篡转业为的实时响应。

如图3、图4所示，过程ID为2536的msiexec.exe过程将PCHealthCheck.exe增长为注册表自启动项，触发了天珣EDR系统篡改防护职能的自启动项增长告警，实时捉拿其悠久化驻留贪图，从攻击链第一步遏造其舒展。

图片3.png

图3天珣EDR产生自启动项增长告警

图片4.png

图4天珣EDR自启动项增长告警详情

恶意行为智能鉴别与阻断

“海莲花”攻击者在使用msiexec装置PCHealthCheck时，会指定特殊的mst文件执行额表操作：开释恶意�？閠bs.dll到PCHealthCheck.exe地点文件夹，增长名为PCHealthCheck的自启动项，并将其指向PCHealthCheck.exe文件。

图片5.png

图5MsiExec.exe解析mst文件后的写文件、注册表操作

天珣EDR依附内置行为引擎，能够对过程的文件行为、注册表项行为、过程行为等进行综合评估，一旦综合评估达到敏感行为规定阈值，则判断该执行文件为恶意文件。

如图6、图7所示，“海莲花”攻击者在使用msiexec装置PCHealthCheck时，指定特殊的mst文件执行了额表操作。天珣EDR就能够基于文件行为、注册表行为分析判定该过程为APT32恶意过程，产生相应的弹窗告警，在关键链路上自动拦截过程，实现“行为级”消杀。

图片6.png

图6天珣EDR行为引擎告警

图片7.png

图7天珣EDR行为引擎告警的举证信息

网络行为全面留痕与检测

“海莲花”样本与C&C服务器成立基于HTTP和谈的网络衔接，每隔30秒发送一次心跳包，尝试从C&C服务器获取主机信息、枚举过程、文件上传下载以及号令执行等恶意节造指令。

图片8.png

图8“海莲花”样本发送加密内容

天珣EDR能够齐全纪录终端所有表联通讯行为，蕴含通讯IP、端口、和谈等关键信息，全面覆盖网络行为轨迹。

如图9、图10所示，天珣EDR监控到终端上“海莲花”样本有关过程pchealthcheck.exe提议了TCP网络衔接139.162.62.239:8001，为后续威胁溯源与关联分析提供了有效数据支持。

图片9.png

图9天珣EDR监测“海莲花”样本网络衔接日志

图片10.png

图10天珣EDR监测“海莲花”样本网络衔接日志详情

除了对网络信息的纪录，天珣EDR与GA黄金甲VenusEye威胁谍报库深度联动，通过融合本地检测数据与云端威胁谍报，构建动态更新的防护机造，持续检测并招架“海莲花”APT及其变种攻击，实现安全风险的早发现、快响应。

图片11.png

图11天珣EDR本地谍报钟装海莲花”有关威胁谍报信息

图片12.png

图12天珣EDR本地谍报钟装海莲花”有关威胁谍报信息详情

在高级威胁持续演进的布景下，终端防护的关键在于成立持续有效的匹敌能力。GA黄金甲天珣EDR通过“检测—防护—响应—迭代”关环安整个系，构建一个可能自我优化、动态调整的终端防御机造，为各类终端应对高级威胁提供靠得住樊篱。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】