与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。...沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...这首先需要一种针对恶意行为的自动化检测技术。 沙箱 我们使用沙箱技术来应对恶意行为的自动化检测。 什么是沙箱?...,得出评估结论:恶意、可疑或是正常的;与此同时,面向专业分析人员提供得出此评估结论的详细分析依据。
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结 ?...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3 在这14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4 现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...而在2019年7月份捕获的双尾蝎APT组织样本中该组织的编译戳为2019.7.14 11:08:48而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00,也就是置0.
个样本是带有恶意宏的诱饵文档 2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2 在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为...14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有1个,科研类的样本数量有1个,未知类的样本数量有3个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...而在2019年7月份捕获的双尾蝎APT组织样本中该组织的编译戳为2019.7.14 11:08:48而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00,也就是置0....C&C报文的演进-pic120 四.总结 1.概述 Gcow安全团队追影小组针对双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解 双尾蝎本次活动样本流程图
线索 2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动的分析,描述了攻击过程的细节和一些工具及网络相关的IOC。...在左边的相关安全报告,也理所当然地提供了FireEye文章的原始链接,除此以外我们还发现了另外一个指向到著名沙箱Payload Security上的某个样本执行沙箱结果信息链接,相应的文件SHA256为...我们知道PayloadSecurity上存储了大量样本的沙箱行为日志数据,那么我们是不是可以在上面找找更多类似的样本呢?这个值得一试。怎么做呢?试试最简单的关键字匹配。...拓展 注意到上面那个已知样本连接C&C IP的进程名了吗?多年从事恶意代码分析的经验告诉我们,这个sigverif.exe进程在恶意代码的活动中并不常见。...启示 APT活动事件层面的分析本质上寻找关联点并利用关联点基于数据进行拓展的游戏,下面是360威胁情报中心整理的基于洛马Cyber Kill Chain模型关联点: ?
近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。...Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。...不同的地方在于沙箱将记录所有网络请求,进程调用,文件活动和注册表活动,如下图所示。 通过这种方式,你可以实时的查看任何的网络请求,正在创建的进程以及文件活动。...正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。 更多特性有待完善 尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。...虽然有许多忠实的用户请求Any.Run尽快开放这些服务,但Any.Run向我们表示只有服务处于稳定状态后他们才会被添加。在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。
进一步对告警信息进行深入分析,发现5个恶意文件均通过邮件方式传播,在内部沙箱系统中验证典型行为有:遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等,这些行为表明该恶意文件就是我们一直关注的勒索病毒...以下为其中一起事件中样本行为的沙箱分析: ? 事件处理: 1)发现该攻击事件后,安恒信息的技术人员第一时间通知客户,及时对该邮件和附件进行删除。...客户案例五 事件起源: 5月15日下午,部署在某客户网络中的APT设备发现了一个PDF文件,沙箱分析结果显示行为有溢出成功、使用ShellExecute执行恶意文件等敏感行为,经过进一步分析发现,该PDF...进一步分析发现,都具有溢出成功,使用ShellExecute执行恶意文件等敏感行为,该PDF样本包含一个OpenAction,并直接指向ID:5的JS流,然后进一步通过指定服务器下载恶意程序,对本地文件进行加密操作...主要采用了流量分析技术和沙箱分析技术,从流量中分离下载的文件、传输的邮件附件等,然后再基于APT设备的动态沙箱虚拟执行引擎,可以对js、exe、vbs等各种类型的勒索病毒运行分析,提取其中的关键行为,包括进程行为
虽然恶意样本和良性样本之间的LotL二进制使用频率(prevalence)有一些明显的差异,但我们也注意到一些类别存在某些相似性,如代理执行(proxied execution)。...值得注意的是,一些APT组有多个活动和样本,如APT28和Keyboy。 这表明APT组织在多个活动中使用了LotL技术。...---- 六.案例分析 在本节中,我们将调查并描述来自数据集中的两个勒索软件(ransomware)家族: (1) Gandcrab 我们在本地沙箱环境中执行了Gandcrab勒索软件样本,并记录了所执行的命令...此外,我们的研究表明,良性样本和恶意样本之间的执行目的存在差异,为检测算法的发展提供了一个方向。事实上,最近的论文[71, 21]探索了这条有前途的研究路线,以克服现有安全产品的局限性。...由于数据来自于云中托管的动态分析沙箱,恶意软件使用的反虚拟机规避技术可能会影响数据质量。我们通过排除在沙箱中执行最少或执行过程中崩溃的恶意软件样本来减轻这种情况。
沙箱分析—Cuckoo 测试的过程中需要限制样本的影响,研究人员在沙箱解决方案中运行恶意软件样本。沙箱工具通常提供内存转储分析功能,因此可以更好地了解内存中发生的情况。...黑客知道,如果他们的恶意软件样本在虚拟机或沙盒中运行,病毒样本会被轻易的执行、行为检测或者自动化的逆向分析出来,黑客会选择自我保护、伪装。其实黑客与安全研究人员的沙箱之间的攻防战争,从来没有结束过。...沙箱可以在本地部署,并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机),客户端数量取决于样本数量以及服务器性能。...可以通过web控制台访问,web控制台如下图所示: 在使用web控制台将文件提交到沙箱之后,样本会被执行,所有的活动都被记录下来,并包含在最终的报告中。研究人员可以通过web控制台访问报告。...Cuckoo沙箱有几种报告格式,包括普通格式、MAEC(恶意软件属性枚举和特征)格式。
如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。 谷歌对这种攻击手段也有防御措施,如果尝试从Google云下载恶意软件,通常会看到以下消息: ?...但是,如果沙盒无法在互动过程中记录整个互动过程,在攻击活动结束后攻击者会从云中删除加密的恶意样本,会给安全人员追溯恶意软带来很大的难题。...技术分析 下载流程 以Legion Loader恶意软件为例,被分析的样本非常小,因此必须要去下载和执行恶意软件。流程如下: ?...攻击者非常了解沙箱,shellcode包含许多技术来检查其是否在沙箱中运行。样本检查了窗口的数量,如果小于12,则静默退出。 ? 动态地解析API函数地址: ?...恶意软件运行完毕不会留下任何痕迹,给分析人员带来很大的难题,他们需要面对一系列的反分析措施以及云端安全功能。
ATT&CK的摘要 本报告中评估的恶意软件样本使用Borland Delphi(即基于Pascal的开发语言)进行编译。这里一个重要的考虑因素是Borland与Windows环境兼容。...以下是根据MITER ATT&CK策略和技术以及网络杀伤链(CKC)步骤评估的AZORult恶意软件样本的摘要特征。...在沙箱分析过程中未观察到自动执行,在研究代码时也未观察到任何自动执行参数。 执行 开发 事件触发执行(即T1546)和创建或修改系统进程(即T1543)技术用于劫持SVCHOST进程以窃取信息。...渗出 针对目标采取的行动 恶意软件标本身份 以下是评估的恶意软件样本的身份信息。...在具有默认名称的监视工具的沙箱中,恶意软件检测到它正在沙箱环境中运行,并跳至代码中定义的睡眠功能。
4、样本区测试火绒时很多时候都是扫描未发现风险,双击报毒,请问官方人员,这是怎么回事?这不会对电脑产生危险吗?扫描又不报毒。...火绒官网的“火绒安全解决方案”第三章对此有专门介绍。 5、官方说火绒有未知病毒防御,请问这是指未知病毒被火绒的恶意行为拦截和系统加固阻止了未知病毒的风险行为而使得未知病毒无法破坏电脑吗?...不管是“系统加固”还是别的防御措施,根本上都是基于对病毒行为的认知,因此火绒团队始终将病毒分析作为核心工作来做,而不是获取样本后简单地加库。...11、火绒现在已经有漏洞入侵拦截和勒索诱捕功能了,那现在火绒的勒索防护应该可以了吧? 回答: 对于防治勒索病毒,火绒还是蛮自信的。...12、火绒怎么在样本区检出率很低呢?而智量的检出率却很亮眼,火绒不是有强大的虚拟沙盒吗?请官方人员做个解释。 回答: 关于检出率这个话题,火绒曾在《感谢您的质疑,容我们解释一二》里作过回答。
在对抗层面,此次变种使用的手段提供了反沙箱、反虚拟机以及反windows defender的相关功能,同时诱饵文件使用了多层或分批解密,大大增加了分析难度。...在对受害者访问的链接进行整合时,发现其是一款针对印度地区进行的窃密活动。下图为整个恶意样本的执行流程图: 二....恶意文档详细分析 触发漏洞CVE-2017-11882的恶意Excel Excel文件打开如下图: 此文件并没有实质的内容,但是已经触发了CVE-2017-11882漏洞,并运行ShellCode从远程...,对用户电脑开展一系列窃密活动。...此邮箱从2021年3月11日至今,已经窃取了大量用户数据。
因此,业内均对APT组织画像归因开展了积极的探索工作,对APT组织建模,建立知识库,并结合知识库进行攻击仿真,以分析恶意行为特征,将恶意网络活动与特定组织或个人进行关联归因。...图1 基于攻击组织本体的上下文感知计算框架 首先需要定义以攻击组织为核心的本体结构,基于该本体结构设计上下文的采集模块和上下文推理模块,通过这些模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集...,一方面包括非实时的非结构化和半结构化的网页,公开性质的博客论坛,结构化(SITX)的开源威胁情报以及本地积累的攻击组织的威胁情报信息等;另一方面也包括结构化的网络威胁检测设备产生的告警日志和实时动态沙箱的恶意软件分析报告...图3 攻击团伙活动监控界面 2020年10月至2021年9月期间,绿盟科技共监测并研判有效的APT组织的活跃线索有57个,平均每个月活跃组织约19个。...图4 APT组织活跃态势 03 总结 虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对动态复杂的网络行为分析时,感知层输入往往缺乏有安全语义的规范化建模,数据层恶意攻击的误报情况
背景 2018年1月31日,韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告,并称早在2017年11月中旬,就有黑客利用该漏洞实施有针对性的攻击。...恶意荷载分析 最终执行的恶意荷载会分为两个阶段的程序,第一个阶段是Dropper荷载释放程序,第二个阶段是利用网络云盘进行C&C控制的后门程序。...在1月31日攻击正式对外曝光后,仍然有大量新的中招者向该云盘上传信息,在获取到的截屏信息中,我们发现了大量的病毒检测沙箱和样本分析人员。...从截屏信息中判断,大部分分析人员在根据https://github.com/brianwrf/CVE-2017-4878-Samples 中的样本在进行病毒分析。 ?...在截图排查中,我们还意外发现了疑似国内安全从业者的电脑桌面截屏,可能是其在下载分析样本时不慎中招。 ?
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...2、https://capesandbox.com/analysis/ 这个平台有各种类型的外挂样本,因为样本更新率很高,样本量也非常多,可以通过关注下载最新的一些恶意样本进行最新攻防方法分析和挖掘最新威胁情报...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
木马程序主要恶意行为TOP10 通过沙箱分析技术对恶意代码的行为进行分析,发现恶意木马程序的行为通常以收集计算机信息、从资源段释放文件并运行、创建网络套接字连接、枚举局域网资源,用于收集信息等恶意行为为主...图 4-6 “天猫”邮件样例 另外,该邮件还附带了一个附件,附件是压缩包格式,里面包含的样本实际类型为exe。 根据APT沙箱分析报告显示,该exe样本的主要行为有: ?...根据安恒APT沙箱报告可自动分析其行为过程图: ?...图 4-8 “天猫”附件样本动态行为过程 其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件。...图 4-11 可疑外连行为 打开其中一个恶意url: ?
我们对这些攻击中使用的恶意软件分析显示,该样本与Ke3chang的BS2005后门以及2016年发现的针对印度大使馆的恶意软件有密切联系。...Ke3chang在2015年的活动情况——Kertican后门 所有分析的Ketrican 2015后门样本都支持Ke3chang中使用的基本命令集,例如下载和上载文件,执行程序和shell命令,以及在配置时间内休眠...反调试反沙盒技术 样本之间共同点还有用于检测模拟环境或沙箱的启发式算法。GetTickCount函数在循环之前和之后调用并迭代999,999,990次。...该报告是关于对TidePool恶意软件家族的研究,其中包括我们分析的两个样本。 Palo Alto 的研究人员称,TidePool恶意软件家族是BS2005恶意软件的变种,这也符合我们的研究结果。...例如将恶意有效载荷嵌入PNG图像中,采用多种反仿真和反沙箱技巧,以及实施中代码实现的频繁更改。从Ketrican样本中可以看到从2015年到2019年的演变和代码改进。
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...沙箱运用 cuckoosandbox 里有一段代码,沙箱会预先设置值用于监控错误的发生,这里就用到了 SetErrorMode 并且其中的参数有 SEM_NOALIGNMENTFAULTEX。...(ps:得要参与沙箱开发的才知道沙箱机制会使用这一段代码了) 如第一张图所示,恶意代码进行了 2 次的 SetErrorMode 函数,紧接着就是 cmp 对比。伪 C 代码示意: ?...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
