样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。想要获取各种类型恶意样本的搜索时间成本相对会比较高。
这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚。
近日,在平时的威胁情报收集中,发现了一起韩国APT组织KimSuky的攻击事件,对整个事件进行完整分析之后,觉得自己对样本分析和流量分析的认识又上了一层楼,在这里分享给大家,希望可以一起学习进步。
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。
溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。
做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。
2016年中国网络空间安全年报 4. 网络空间中的APT威胁分析 美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report),在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,在几乎世界上的每个角落都发现过恶意软件的服务器,并且攻击行为愈演愈烈。 下文从安恒APT云端的海量攻击样本中,对APT的攻击特点与事件进行分析,其中木马程序成为了APT攻击常用工具,黑客通常采用恶意木马进行终端信息搜集与回联控制,为了深入说明APT
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。
响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
PS:以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次条件极为有限的排查。 0x01 确认到手情报 首先来看一下,同事手上有啥情报。
2016年中国网络空间安全年报 4.3 C&C服务器分布情况分析 C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。 本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。 4.3.1 大多C&C服务器活跃时间较短 根据安恒对截止到
双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
“看见”的能力始终伴随着“不看见”的能力,正如“太极”的两部分。什么是看见?看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。
背景 2018年1月31日,韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告,并称早在2017年11月中旬,就有黑客利用该漏洞实施有针对性的攻击。 2018年2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的AdobeFlash零日漏洞被发现针对韩国地区的人员发起攻击,该0day漏洞编号为CVE-2018-4878。 2018年2月5日,Adobe官方发布漏洞补丁,修复CVE-2018-487
Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。主体使用python开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件,沙箱系统即可自动分析,并在分析完毕后提供一个详细的报告,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件.
各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 万维网联盟拒绝谷歌和Mozilla对分散标识符(DID)提案的反对意见 2. 欧盟举办超大规模网络安全演习:医疗基础设施遭全链条打击 3. Jenkins 安全团队披露了 29 个受 0Day 漏洞影响的插件 4. NPM 供应链攻击影响数百个网站和应用程序 5. PCI DSS 4.0发布以应对新兴威胁和技术 6. OpenSea
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
根据上级开展挖矿专项整治工作,针对当地网吧、酒店等地区开展挖矿排查,此事件便是挖矿专项整治工作中的一例典型。
传统网站安全检测方式 当前的网站安全检查都是通过静态扫描的方式,来检测网站存在的漏洞和后门等安全问题,以是否存在漏洞来判断网站是否“安全”,这种检测方式通常都是依靠漏洞的“特征”,但是,黑客攻击的方式
对企业安全建设来说,人是最大的安全威胁因素,系统再牢固、资产再收缩,也架不住内部员工被社工、被骗后轻而易举的进行破坏。
一、 漏洞简介 CVE-2017-0199漏洞是一个Office远程执行代码漏洞,该漏洞利用Office OLE对象链接技术,将伪装的恶意链接对象嵌在文档中,由Office调用URL Moniker(COM对象)将恶意链接指向的HTA文件下载到本地,通过识别响应头中content-type的字段信息调用mshta.exe执行下载的HTA文件。 受该漏洞影响的Microsoft Office版本包括:Microsoft Office 2016、Microsoft Office 2013、Microsoft O
在经历过期末学习怠倦期后,我战战兢兢地打开了(自己搭的蜜罐抓不到样本(╥ω╥`) )
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运,我们团队近年来获得过第1、2、4、6、7、8名,不过也存在很多遗憾,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!
自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预警平台(以下简称APT设备),在为客户提供免费技术支持的基础上还提供了专家现场支持,帮助用户分析病毒感染情况。 在近几天的支持过程中,安恒信息通过APT设备不但捕获到了勒索病毒大面积扩散的证据,还及时捕获到了勒索病毒变种后的样本和扩散源。以下是安恒信息技术专家在客户现场进行技术支持中捕获到的几起典型案例样本,以及样本进行及时处置的说明。 客户案例一
之前看待事物总是看其一角,做技术也是囿于一面,思维不是很开阔,经过不断地看书,思考,认知慢慢有了 改变,获益良多。
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
在六月份的某单位HW行动中,知道创宇HW安全团队通过创宇云图APT威胁感知系统并结合腾讯御点终端安全管理系统成功处置了一起APT攻击事件。
近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像GandCrab的黑产团伙出现,因为只要有利益的地方,就会有黑产。
作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议;这篇文章将详细讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、系统安全紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
VirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在侵权或不足之处,还望告知,加油!
通过邮件投递病毒文件是网络攻击常用的一种方式,因此防御邮件攻击是每个安全团队都需要重点考虑的内容。中兴通讯每天都会收到数万封外部邮件,为了及时检测每封邮件是否含有恶意文件,中兴ZInsight团队部署了自研的高级邮件防御系统,针对每个邮件附件,通过动态行为分析的方式检测是否存在威胁。本文介绍近期捕获的一起攻击事件,分析其攻击过程。
1. 事件 WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武器库中的7个漏洞进行传播,包括SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)。 永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。感染用户电脑后
近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。
概述 双尾蝎(奇安信内部跟踪编号:APT-Q-63)是一个长期针对中东地区的高级威胁组织,其最早于2017年被披露。至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。 近日,在日常的威胁狩猎中捕获了该组织多起攻击样本,捕获的样本包括伪装成政治热点、教育相关的可执行文件诱饵,以及伪装成微软图像处理设备控制面板程序(ImagingDevices.exe),此类样本运行后,将会释放展示正常的诱饵以迷惑受害者
今天为大家介绍在kali linux 2020系统中cuckoo软件及沙箱的安装、配置和使用方法。
根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里
今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。github地址为:
该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。
前文详细讲解了WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。今天将结合作者的课程作业、论文和理解,以及绿盟李老师的博客和宋老师的论文,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
一. 概述 Agent Tesla源于2014年的一款键盘记录产品,演变至今,俨然成为了黑客专门用来窃密的工具软件。随着地下市场的需求增加以及攻防的对抗升级,Agent Tesla覆盖面愈来愈广,功能也愈来愈精密。 AgentTesla变种所窃密的软件多达76种,无论是浏览器、FTP、VPN、邮箱、通讯软件、下载工具、数据库无一幸免。在对抗层面,此次变种使用的手段提供了反沙箱、反虚拟机以及反windows defender的相关功能,同时诱饵文件使用了多层或分批解密,大大增加了分析难度。 Agent Tes
由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
领取专属 10元无门槛券
手把手带您无忧上云