#005 · 样本分析
Darkhotel 组织 JPEG 隐写样本分析
Darkhotel 是具有东亚背景的 APT 组织,分析人员基于 AVL Code 对疑似样本展开全静态分析,完整还原其多阶段信息窃取攻击链。
生成依据:AVL Code + 澜砥大模型
隐写分析JPEGDarkhotelAPTWOW64
案例概述
本案例对一个来自疑似 Darkhotel 组织的 1.3MB JPEG 样本开展全静态分析,完整还原其「JPEG 隐写—WinRAR 寄生—多阶段信息窃取」的攻击链,并产出可直接用于检测、狩猎、应急响应的 IOC、规则与处置方案。
核心成果
- 从 JPEG 尾部提取并还原出 990KB WinRAR 可执行载荷
- 识别隐写密钥与 JPEG + CRLF + Base64(PE) + 填充的隐写格式
- 解析双重持久化机制、WOW64 进程注入与数据窃取流水线
- 提取完整 IOC:API 导入、PE 节区、注入 DLL、压缩密码等
- 交付 YARA、SIGMA、网络检测规则与标准化处置流程
技术亮点
JPEG 边界精确定位与隐写载荷提取Base64 分块解码PE 身份三重交叉验证全静态分析,零执行风险持久化与 WOW64 注入行为还原LotL 寄生策略识别
落地价值
检测团队可立即部署 YARA/SIGMA 规则与 IOC 进行实时告警与封禁,狩猎团队可依据 JPEG 大小异常、Base64 解码行为与 WinRAR 异常调用等特征拓展覆盖面,应急响应团队可直接参考配套处置流程完善响应手册。