为了进一步震慑黑客组织与网络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是: 同源分析: 利用恶意样本间的同源关系发现溯源痕迹,并根据它们出现的前后关系判定变体来源。...为了进一步防御网络犯罪活动和威慑黑客组织,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。...以上纯属笔者个人的观点角度,意在抛砖引玉,引发读者去思考作为一名合格的恶意样本分析人员应该具备那些技能?仁者见仁智者见智点到为止。 不过有一点可以确认单纯掌握样本分析技能是远远不够的。....宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析 [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解 [系统安全] 二十一.PE数字签名之(中)Signcode...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 参考文献: [1]姜建国,王继志,孔斌,等.
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
2 除了对邮件头欺骗、发件人欺骗、邮件钓鱼和邮件恶意链接检测外,一旦发现包含可疑邮件附件,通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为...、注册表行为等关键信息,识别其中可疑的样本特点,快速对网络中传输的恶意样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。...提示:收到一封邮件,来自天猫的双十一优惠卷。 殊不知,另一场邮件门骗局拉开帷幕。。。 ? 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴。...根据安恒态势感知APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名...根据安恒态势感知APT沙箱报告可自动分析其行为过程图: ? 其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件: ?
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。...沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...这首先需要一种针对恶意行为的自动化检测技术。 沙箱 我们使用沙箱技术来应对恶意行为的自动化检测。 什么是沙箱?...,得出评估结论:恶意、可疑或是正常的;与此同时,面向专业分析人员提供得出此评估结论的详细分析依据。
线索 2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动的分析,描述了攻击过程的细节和一些工具及网络相关的IOC。...在左边的相关安全报告,也理所当然地提供了FireEye文章的原始链接,除此以外我们还发现了另外一个指向到著名沙箱Payload Security上的某个样本执行沙箱结果信息链接,相应的文件SHA256为...我们知道PayloadSecurity上存储了大量样本的沙箱行为日志数据,那么我们是不是可以在上面找找更多类似的样本呢?这个值得一试。怎么做呢?试试最简单的关键字匹配。...拓展 注意到上面那个已知样本连接C&C IP的进程名了吗?多年从事恶意代码分析的经验告诉我们,这个sigverif.exe进程在恶意代码的活动中并不常见。...启示 APT活动事件层面的分析本质上寻找关联点并利用关联点基于数据进行拓展的游戏,下面是360威胁情报中心整理的基于洛马Cyber Kill Chain模型关联点: ?
近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。...Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。...不同的地方在于沙箱将记录所有网络请求,进程调用,文件活动和注册表活动,如下图所示。 通过这种方式,你可以实时的查看任何的网络请求,正在创建的进程以及文件活动。...正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。 更多特性有待完善 尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。...虽然有许多忠实的用户请求Any.Run尽快开放这些服务,但Any.Run向我们表示只有服务处于稳定状态后他们才会被添加。在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。
沙箱分析—Cuckoo 测试的过程中需要限制样本的影响,研究人员在沙箱解决方案中运行恶意软件样本。沙箱工具通常提供内存转储分析功能,因此可以更好地了解内存中发生的情况。...黑客知道,如果他们的恶意软件样本在虚拟机或沙盒中运行,病毒样本会被轻易的执行、行为检测或者自动化的逆向分析出来,黑客会选择自我保护、伪装。其实黑客与安全研究人员的沙箱之间的攻防战争,从来没有结束过。...沙箱可以在本地部署,并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机),客户端数量取决于样本数量以及服务器性能。...可以通过web控制台访问,web控制台如下图所示: 在使用web控制台将文件提交到沙箱之后,样本会被执行,所有的活动都被记录下来,并包含在最终的报告中。研究人员可以通过web控制台访问报告。...Cuckoo沙箱有几种报告格式,包括普通格式、MAEC(恶意软件属性枚举和特征)格式。
如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。 谷歌对这种攻击手段也有防御措施,如果尝试从Google云下载恶意软件,通常会看到以下消息: ?...但是,如果沙盒无法在互动过程中记录整个互动过程,在攻击活动结束后攻击者会从云中删除加密的恶意样本,会给安全人员追溯恶意软带来很大的难题。...技术分析 下载流程 以Legion Loader恶意软件为例,被分析的样本非常小,因此必须要去下载和执行恶意软件。流程如下: ?...攻击者非常了解沙箱,shellcode包含许多技术来检查其是否在沙箱中运行。样本检查了窗口的数量,如果小于12,则静默退出。 ? 动态地解析API函数地址: ?...恶意软件运行完毕不会留下任何痕迹,给分析人员带来很大的难题,他们需要面对一系列的反分析措施以及云端安全功能。
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结 ?...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2 在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为word文档文件,有2个样本伪装为...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3 在这14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4 现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。
个样本是带有恶意宏的诱饵文档 2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2 在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为...14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有1个,科研类的样本数量有1个,未知类的样本数量有3个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容...) 2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4 现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...C&C报文的演进-pic120 四.总结 1.概述 Gcow安全团队追影小组针对双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解 双尾蝎本次活动样本流程图
因此,业内均对APT组织画像归因开展了积极的探索工作,对APT组织建模,建立知识库,并结合知识库进行攻击仿真,以分析恶意行为特征,将恶意网络活动与特定组织或个人进行关联归因。...图1 基于攻击组织本体的上下文感知计算框架 首先需要定义以攻击组织为核心的本体结构,基于该本体结构设计上下文的采集模块和上下文推理模块,通过这些模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集...,一方面包括非实时的非结构化和半结构化的网页,公开性质的博客论坛,结构化(SITX)的开源威胁情报以及本地积累的攻击组织的威胁情报信息等;另一方面也包括结构化的网络威胁检测设备产生的告警日志和实时动态沙箱的恶意软件分析报告...图3 攻击团伙活动监控界面 2020年10月至2021年9月期间,绿盟科技共监测并研判有效的APT组织的活跃线索有57个,平均每个月活跃组织约19个。...图4 APT组织活跃态势 03 总结 虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对动态复杂的网络行为分析时,感知层输入往往缺乏有安全语义的规范化建模,数据层恶意攻击的误报情况
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...2、https://capesandbox.com/analysis/ 这个平台有各种类型的外挂样本,因为样本更新率很高,样本量也非常多,可以通过关注下载最新的一些恶意样本进行最新攻防方法分析和挖掘最新威胁情报...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
我们对这些攻击中使用的恶意软件分析显示,该样本与Ke3chang的BS2005后门以及2016年发现的针对印度大使馆的恶意软件有密切联系。...Ke3chang在2015年的活动情况——Kertican后门 所有分析的Ketrican 2015后门样本都支持Ke3chang中使用的基本命令集,例如下载和上载文件,执行程序和shell命令,以及在配置时间内休眠...反调试反沙盒技术 样本之间共同点还有用于检测模拟环境或沙箱的启发式算法。GetTickCount函数在循环之前和之后调用并迭代999,999,990次。...该报告是关于对TidePool恶意软件家族的研究,其中包括我们分析的两个样本。 Palo Alto 的研究人员称,TidePool恶意软件家族是BS2005恶意软件的变种,这也符合我们的研究结果。...例如将恶意有效载荷嵌入PNG图像中,采用多种反仿真和反沙箱技巧,以及实施中代码实现的频繁更改。从Ketrican样本中可以看到从2015年到2019年的演变和代码改进。
虽然恶意样本和良性样本之间的LotL二进制使用频率(prevalence)有一些明显的差异,但我们也注意到一些类别存在某些相似性,如代理执行(proxied execution)。...值得注意的是,一些APT组有多个活动和样本,如APT28和Keyboy。 这表明APT组织在多个活动中使用了LotL技术。...---- 六.案例分析 在本节中,我们将调查并描述来自数据集中的两个勒索软件(ransomware)家族: (1) Gandcrab 我们在本地沙箱环境中执行了Gandcrab勒索软件样本,并记录了所执行的命令...此外,我们的研究表明,良性样本和恶意样本之间的执行目的存在差异,为检测算法的发展提供了一个方向。事实上,最近的论文[71, 21]探索了这条有前途的研究路线,以克服现有安全产品的局限性。...由于数据来自于云中托管的动态分析沙箱,恶意软件使用的反虚拟机规避技术可能会影响数据质量。我们通过排除在沙箱中执行最少或执行过程中崩溃的恶意软件样本来减轻这种情况。
一年一度的全民购物即将来临,估计现在不少朋友的淘宝天猫的购物车上早已选好了准备双十一剁手的各种产品了,都希望在11.11当天抢到心仪已久的“降价”了的物品。 然而11.11果真是一年中最优惠的时候吗?...为了解决这个问题,根据天猫双11主会场30个大类目分类,分别针对这些类目取样500个小分类,并且根据历史价格查询网站采集这15000个样本的在2016年的所有价格,这样就可以得到在2016年双11当天到底是不是最低价格...二、数据分析: 1、从整体来看,在2017年参加双11的产品中,在2016年双11当天是全年最低价的只占17.17%,而高达82.83%的商品在双11当天的价格并不是全年最低价格。...4、从区域来看,每个常识的商家的商品在2016年双十一价格是全年最低价的比例也是非常低的,商品在新疆或者黑龙江的,那么你在双11期间获得全年最低价的可能性要比其他地方高很多了。...以上只是在价格层面上做分析,但是双十一真正的优惠其实是在满减活动上,这里突出反应的是一些商家可能存在在双11期间提高价格然后在满减上做出大幅度的优惠,所有这点还是需要区别对待的。
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...沙箱运用 cuckoosandbox 里有一段代码,沙箱会预先设置值用于监控错误的发生,这里就用到了 SetErrorMode 并且其中的参数有 SEM_NOALIGNMENTFAULTEX。...(ps:得要参与沙箱开发的才知道沙箱机制会使用这一段代码了) 如第一张图所示,恶意代码进行了 2 次的 SetErrorMode 函数,紧接着就是 cmp 对比。伪 C 代码示意: ?...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作
这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 [系统安全...ATT&CK技战术 [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解 [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征 [系统安全] 四十八....恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解 [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解 [系统安全] 五十.恶意家族分类...2022年DataCon涉网分析之恶意样本IOC自动化提取详解
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
威胁情报和分析 威胁情报是网络安全的前沿防线。通过获取来自不同来源的威胁情报,如黑客论坛、恶意软件样本和漏洞报告,安全团队可以了解最新的攻击趋势和攻击者的行为模式。...结合机器学习和人工智能技术,进行情报分析,识别出潜在的威胁,以便迅速采取防御措施。 2. 恶意软件检测与分析 恶意软件是常见的网络威胁,它可以通过各种方式传播并危害系统。...及时检测和分析恶意软件是网络安全的核心任务。 技术实践: 使用行为分析、沙箱和静态分析等技术,对文件和应用程序进行检测。...通过对样本进行逆向工程分析,可以深入了解恶意软件的功能和攻击手法,从而更好地进行防御。 3....技术实践: 部署网络中的IDS/IPS传感器,监控流量和活动。结合规则和行为分析,及时识别可疑活动并采取自动化的响应措施,如阻止流量或报警。 4.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
云直播
实时音视频
