#005 · 樣本分析

Darkhotel 組織 JPEG 隱寫樣本分析

Darkhotel 是具有東亞背景的 APT 組織,分析人員基於 AVL Code 對疑似樣本展開全靜態分析,完整還原其多階段資訊竊取攻擊鏈。

生成依據:AVL Code + 瀾砥大模型

隱寫分析JPEGDarkhotelAPTWOW64

案例概述

本案例對一個來自疑似 Darkhotel 組織的 1.3MB JPEG 樣本開展全靜態分析,完整還原其「JPEG 隱寫—WinRAR 寄生—多階段資訊竊取」的攻擊鏈,並產出可直接用於檢測、狩獵、緊急應變的 IOC、規則與處置方案。

核心成果

  • 從 JPEG 尾部擷取並還原出 990KB WinRAR 可執行載荷
  • 識別隱寫金鑰與 JPEG + CRLF + Base64(PE) + 填充的隱寫格式
  • 解析雙重持久化機制、WOW64 程序注入與資料竊取管線
  • 擷取完整 IOC:API 匯入、PE 節區、注入 DLL、壓縮密碼等
  • 交付 YARA、SIGMA、網路檢測規則與標準化處置流程

技術亮點

JPEG 邊界精確定位與隱寫載荷擷取Base64 分塊解碼PE 身分三重交叉驗證全靜態分析,零執行風險持久化與 WOW64 注入行為還原LotL 寄生策略識別

落地價值

檢測團隊可立即部署 YARA/SIGMA 規則與 IOC 進行即時告警與封鎖,狩獵團隊可依據 JPEG 大小異常、Base64 解碼行為與 WinRAR 異常呼叫等特徵拓展覆蓋面,緊急應變團隊可直接參考配套處置流程完善應變手冊。

相關產物

會話回放與報告為簡體中文原始記錄 · 生成依據:AVL Code + 瀾砥大模型