追踪溯源方法 恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题: 谁发动的攻击? 攻击背景是什么? 攻击的意图是什么? 谁编写的样本?...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。...总觉得自己的技术好浅,要学的知识好多,读博真心不容易,加油,祝福所有博士战友们。 这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。....宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析 [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解 [系统安全] 二十一.PE数字签名之(中)Signcode...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 参考文献: [1]姜建国,王继志,孔斌,等.
2 除了对邮件头欺骗、发件人欺骗、邮件钓鱼和邮件恶意链接检测外,一旦发现包含可疑邮件附件,通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为...、注册表行为等关键信息,识别其中可疑的样本特点,快速对网络中传输的恶意样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。...提示:收到一封邮件,来自天猫的双十一优惠卷。 殊不知,另一场邮件门骗局拉开帷幕。。。 ? 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴。...根据安恒态势感知APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名...根据安恒态势感知APT沙箱报告可自动分析其行为过程图: ? 其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件: ?
概述 ---- 小c忙活半天,总算把环境配好。 前期准备完成,便可以着手进行样本分析了。...样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。
这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 [系统安全...ATT&CK技战术 [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解 [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征 [系统安全] 四十八....恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解 [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解 [系统安全] 五十.恶意家族分类...2022年DataCon涉网分析之恶意样本IOC自动化提取详解
举个例子,我们撒网打鱼,一网下去,网中好鱼的数量占池子中所有好鱼的数量就是TPRate,而FPRate表示一网下去,坏鱼的数量占整个池子中所有坏鱼的数量比例,当然FPRate越小越好。...根据步骤中对训练样本进行预处理的方式,可以将检测分为静态分析与动态分析: 静态分析不运行待检测代码,而是通过直接对程序(如反汇编后的代码)进行统计分析得到数据特征 动态分析则在虚拟机或沙箱中执行程序,获取程序执行过程中所产生的数据...(2) 动态分析 利用虚拟机或沙箱执行待测程序,监控并收集程序运行时显现的行为特征,并根据这些较为高级的特征数据实现恶意代码的分类。...、防御措施、自发邮件及APT28宏样本分析 [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解 [系统安全] 二十一.PE数字签名之(中)Signcode、PEView...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 参考文献
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁,但在对恶意样本分析的过程中,发现越来越多的逃逸和对抗样本,这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别...4.4.3 样本同源性分析技术 样本同源性分析技术是对APT事件追踪关键的一个环节,恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。...▲ 图 4‑18 勒索病毒行为调用过程 以下是样本同源性分析的具体思路: 通过沙箱可以提取所有样本的具体恶意行为,而其中一些样本是具有相应的规律的,尤其是出自相同的黑客组织,这些同源的恶意代码在具体的行为操作上有着相同或相似的片段...▲ 图 5‑1 勒索病毒分类 5.2 勒索病毒以遍历文件与加密行为为主 通过沙箱分析技术,可以对勒索病毒精准分类判断,通过沙箱取样分析并提取其中的关键行为,包括进程行为、文件行为、网络行为等信息,其中的典型恶意行为排序如下...▲ 图 5‑3 勒索病毒执行过程 在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为,用于对抗调试器的分析。
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...沙箱云监测漏洞利用样本 除了恶意软件家族之外,我们通过沙箱云还在持续监测互联网中的 N-day 漏洞利用的活跃情况。这些 N-day 漏洞覆盖了操作系统和流行应用软件。...这首先需要一种针对恶意行为的自动化检测技术。 沙箱 我们使用沙箱技术来应对恶意行为的自动化检测。 什么是沙箱?...,得出评估结论:恶意、可疑或是正常的;与此同时,面向专业分析人员提供得出此评估结论的详细分析依据。
3、配置auxiliary.conf auxiliary模块是持续进行恶意样本分析的脚本,这个配置文件定义它们的选项。保持默认即可。...(四)拍摄虚拟机快照 接下来需要对配置好的客户机建立一个快照。每次Cuckoo调用客户机分析完一个恶意样本之后,会把虚拟机恢复到这个快照的状态。...四、kali linux使用cuckoo沙箱分析恶意样本 (一)启动cuckoo 1、启动cuckoo主程序 cuckoo //命令行启动cuckoo ? 没有出现报错信息,说明启动成功。...点击“SUBMIT URLS/HASHES”,提交URL或文件hash进行分析。 ? 4、查看分析结果 点击上方的Recent,可以看到近期分析的恶意样本。 ? 点击样本名称,可以看到分析结果: ?...在Signatures(行为特征)部分,可以看到样本执行了添加用户到管理员组的操作。 ? cuckoo在沙箱中拍摄了样本执行时的截图,通过截图可进一步了解样本的运行情况。
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...(ps:得要参与沙箱开发的才知道沙箱机制会使用这一段代码了) 如第一张图所示,恶意代码进行了 2 次的 SetErrorMode 函数,紧接着就是 cmp 对比。伪 C 代码示意: ?...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作...恶意程序创建了多线程,加快遍历加密文件的速度 ? 样本使用了 I/O 端口模型进行线程间通信以及 salsa20 加密算法对系统文件进行加密 ? ? 使用自绘函数代码,修改用户桌面背景 ?
Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写
进一步对告警信息进行深入分析,发现5个恶意文件均通过邮件方式传播,在内部沙箱系统中验证典型行为有:遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等,这些行为表明该恶意文件就是我们一直关注的勒索病毒...以下为其中一起事件中样本行为的沙箱分析: ? 事件处理: 1)发现该攻击事件后,安恒信息的技术人员第一时间通知客户,及时对该邮件和附件进行删除。...客户案例五 事件起源: 5月15日下午,部署在某客户网络中的APT设备发现了一个PDF文件,沙箱分析结果显示行为有溢出成功、使用ShellExecute执行恶意文件等敏感行为,经过进一步分析发现,该PDF...进一步分析发现,都具有溢出成功,使用ShellExecute执行恶意文件等敏感行为,该PDF样本包含一个OpenAction,并直接指向ID:5的JS流,然后进一步通过指定服务器下载恶意程序,对本地文件进行加密操作...主要采用了流量分析技术和沙箱分析技术,从流量中分离下载的文件、传输的邮件附件等,然后再基于APT设备的动态沙箱虚拟执行引擎,可以对js、exe、vbs等各种类型的勒索病毒运行分析,提取其中的关键行为,包括进程行为
根据安恒APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名...根据安恒APT沙箱报告可自动分析其行为过程图: 其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件: 进一步对其网络行为分析,发现其建立回传通道的关键服务器两个...安恒APT产品通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警...,上传、查询和确认样本的分析结果,感知最新的安全情报。...声明:本报告中所有分析截图均来自于安恒APT产品自动生成的沙箱分析报告
恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。 网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。...恶意样本溯源思路 对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。...在对恶意样本分析过程中通常需要关注:恶意样本中是谁发动攻击、攻击的 目的是什么、恶意样本的作者是谁、采用了哪些攻击技术、攻击的实现流程是怎样的。...作者溯源:恶意样本的作者溯源就是通过分析和提取恶意样本中的相关特征,定位出恶意样本作者相关特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织。...在分析恶意样本的时候可以参考借鉴下面的几个在线沙箱 微步云沙箱:https://s.threatbook.cn/ 奇安信云沙箱: https://sandbox.ti.qianxin.com/sandbox
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co
哈勃沙箱技术总览 第一节 哈勃linux沙箱 今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。...静态检测的本质是特征码匹配,对已知的恶意文件进行快速匹配进而查杀,如果能在静态检测层面发现恶意代码,就不需要动态分析了,这样速度就会快很多。 ?...5. yara模糊过滤 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息。...内存分析 对于内存,沙箱基本上都是基于volatility来做的,哈勃也不例外。哈勃主要分析了两部分内存: 1.bash 调用历史 ? 2.父子进程的关系 ?...2.没有策略 沙箱的检测策略是没有开源的,这是很宝贵的东西。我们虽然可以获取大量的信息,但是哪些是恶意的,我们没办法判别。当然这就是我们策略该做的事情了,只要有样本,策略还是可以做的。
0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.com
/2018/01/15/index.html 下载样本文件,该样本使用了 CVE-2017-11882 office 漏洞,向黑客服务器发起链接,下载并执行恶意文件。...可以看到 00430C12 是 WinExec 的函数地址,用来执行构造的公式内容,下载 joe.src 并执行 接下来分析恶意样本 恶意样本分析 这个病毒非常恶心,经过了复杂的代码混淆,混淆器由 VB...这个 joe.src 样本肯定很多人都拿到了,但是基本上都没有把里面的银行木马拖出来,大部分人都是扔到沙箱里面进行运行,然而目前主流的沙箱并不能检测到这个银行木马的最终释放,剩下的内容,我主要分享脱这个银行木马的思路...下面是沙箱的分析报告,很明显该沙箱并没有检测到银行木马,只检测出来了VB混淆器的执行流程 https://www.hybrid-analysis.com/sample/3f83a4ff3803dffbed605a82e30f79e39620ded61bd4a09b8e1abd08ec4c2ecb...最后 dump 出来的银行木马地址如下(只提供银行木马和 shellcode ) https://pan.baidu.com/s/1oV9mcVojEw-qOwARZW7uDg 小结 1、分析之前没有想到这个恶意样本这么复杂
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
