文章总结： 本文阐述了基于恶意样本痕迹挖掘关联攻击团伙的研究。通过分析Windows样本，演示利用特殊字符串、vhash、导入表哈希及Richheader哈希等特征进行关联搜索，发现具有相似编译环境的攻击样本集。该方法有助于情报先行与趋势分析，建议结合多维特征提高归因可信度。 综合评分： 88 文章分类： 威胁情报,恶意软件,逆向分析

基于样本层面的痕迹挖掘关联研究

原创

jishuzhain jishuzhain

OnionSec

2026年2月5日 15:51 广东

这篇文章主要是基于样本作为支点实现对攻击团伙或者特定属性的组织实现一些痕迹挖掘，最终目标主要是持续发现新的攻击痕迹或者趋势，在防御上能有侧重或者实现“情报先行“的理念。写文的基础来源于之前工作需要对此类攻击活动进行持续挖掘跟踪，尽量或者尽快在攻击成功后能及时遏制攻击者的行动。这块的思路不限制，比如可以结合图算法或者数据挖掘算法来完成类似的目的也可以，主要是受限于个体想法与可支配的资源所决定最终的效果。在此，我仅仅只是抛砖引玉说明一下。

样本是实现攻击者目的的一个重要载体，必然携带有不少攻击者所属的基因，在最理想的情况下，我们可以基于样本获取到攻击者的意图。本文的样本聚集在Window平台下，其余平台或者架构当前并未涉及，但从理想状态来汇总，攻击者并不会仅仅限于利用Window平台实现攻击目的，只要防御者所必然依赖的设备都可能成为攻击面。

以下内容是整个研究与分析过程，会从多个特征维度进行分析与举例说明。

奇特字符串

在对捕获的恶意样本分析完毕后，我们注意到了样本里包含了比较奇特的字符串内容，如下为“HAIBJCK”字符串。

为了捕获到相关联的样本，通过VT官方提供的搜索语法找到了如下结果，通过结果数量可以发现这个匹配的数据不多，正好可以手工验证下。由于“HAIBJCK”为特殊字符串，为减少搜索的范围，我们直接搜索过滤出dll文件结果，此时返回的结果比之前的结果要多一些。搜索命令：content:”HAIBJCK” AND entity:file tag:pedll，简单验证后可以明显发现很多相关联的样本。

vhash关联匹配

根据VirusTotal的说法，vhash是一种内部相似性聚类算法值，基于简单的结构特征哈希可以找到相似的文件。目前没有关于vhash的更多信息，VirusTotal没有公开vhash的算法细节。不过我们可以适当地在关联时进行利用，通过该样本（3452471158ED7E6BDE3D66141B08CEA4）的vhash结果进行关联搜索，我们得到了另一个相似恶意文件样本。

搜索命令：vhash:135056651d75151az42jz2jz，搜索结果如下。

本地进行简单的分析，发现两个文件确实具备一定的相似性。

通过调试新关联文件也发现他们之前判断母体加载文件名称的逻辑是一致的，但是经过数据比对两个文件之后的shellcode部分是不同的，属于不同攻击样本。

导入表哈希值imphash关联匹配

通过对其导入表哈希值imphash进行关联搜索，我们也可以得到另外一些关联结果。搜索命令：imphash:9d9fd850ae414cf4cef6e0521cddb88d

PE文件的元数据Rich header哈希值一致则表明这是利用相同的编译环境构建的恶意文件，为了获取到更多攻击样本集，这一特征也可以作为关联技巧，PE文件的元数据Rich header解释如下。

Rich header是一种未公开的结构，它出现在微软使用“LINK.EXE”工具生成的大多数 PE 文件中。实际上，使用标准的Visual Studio工具集构建的任何二进制文件都包含此标头。目前互联网上没有描述这种结构的官方文档，但是可以在互联网上找到足够多的公开信息，并且还可以逆向 LINK.EXE 本身获取更多细节信息。

不过由于该特征比较单一，所以在进行样本归因来源时需要与其他特征结合才能得到较高的可信度，实践案例：https://securelist.com/the-devils-in-the-rich-header/84348/

Rich header哈希值关联匹配

将匹配的样本下载到本地后，人工对三个样本进行了静态分析与调试，发现上述三个样本的相似性太高了，所以导入表哈希一致也是很自然的，可以判定确实是同一个组织针对受害者定制开发的恶意文件，由于出自同一组织，自然大概率下构建环境在一定程度上是一致的，这也符合这些样本的Rich header哈希值是一致的。

想法是基于特定的问题而诞生的，对于痕迹挖掘关联来说也是如此，在符合逻辑的条件下，不限思路即可。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《基于样本层面的痕迹挖掘关联研究》