文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

一个Hancitor恶意邮件活动Word文档样本分析

与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...该文是一篇翻译文章,原文来自“Post 0x16:Hancitor MalSpam – Stage 1”【https://0ffset.wordpress.com/2018/08/12/post-0x16...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...二、恶意分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

1.6K10

【收藏】10大常用恶意软件检测分析平台

三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。

7.8K10
您找到你想要的搜索结果了吗?
是的
没有找到

基于海量样本数据的高级威胁发现

看见一片大海、一片星空、一片沙漠,是看见?正是由于选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。...沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...这首先需要一种针对恶意行为的自动化检测技术。 沙箱 我们使用沙箱技术来应对恶意行为的自动化检测。 什么是沙箱?...,得出评估结论:恶意、可疑或是正常的;与此同时,面向专业分析人员提供得出此评估结论的详细分析依据。

3.6K10

攻击者正在向云端转移

如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。 谷歌对这种攻击手段也有防御措施,如果尝试从Google云下载恶意软件,通常会看到以下消息: ?...但是,如果沙盒无法在互动过程中记录整个互动过程,在攻击活动结束后攻击者会从云中删除加密的恶意样本,会给安全人员追溯恶意软带来很大的难题。...技术分析 下载流程 以Legion Loader恶意软件为例,被分析样本非常小,因此必须要去下载和执行恶意软件。流程如下: ?...攻击者非常了解沙箱,shellcode包含许多技术来检查其是否在沙箱中运行。样本检查了窗口的数量,如果小于12,则静默退出。 ? 动态地解析API函数地址: ?...恶意软件运行完毕不会留下任何痕迹,给分析人员带来很大的难题,他们需要面对一系列的反分析措施以及云端安全功能。

1K20

刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结

刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结 ?...二.样本信息介绍以及分析 1.样本信息介绍 在本次尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了14个样本,均为windows样本,其中12样本是释放诱饵文档的可执行文件,2...2019.12——2020.2尾蝎APT组织针对巴勒斯坦所投放样本样本类型占比图-pic2 在这12个可执行文件样本中,7个样本伪装成pdf文档文件,1个样本伪装为word文档文件,2个样本伪装为...2019.12——2020.2尾蝎APT组织针对巴勒斯坦所投放可执行文件样本样本类型占比图-pic3 在这14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量9个,教育类的样本数量...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动

2.9K11

刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结

二.样本信息介绍以及分析 1.样本信息介绍 在本次尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了14个样本,均为windows样本,其中12样本是释放诱饵文档的可执行文件,2...个样本是带有恶意宏的诱饵文档 2019.12——2020.2尾蝎APT组织针对巴勒斯坦所投放样本样本类型占比图-pic2 在这12个可执行文件样本中,7个样本伪装成pdf文档文件,1个样本伪装为...14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量9个,教育类的样本数量1个,科研类的样本数量1个,未知类的样本数量3个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...C&C报文的演进-pic120 四.总结 1.概述 Gcow安全团队追影小组针对尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解 尾蝎本次活动样本流程图

2.6K10

干货分享 | 几种典型勒索病毒事件应对与处置案例

以下是安恒信息技术专家在客户现场进行技术支持中捕获到的几起典型案例样本,以及样本进行及时处置的说明。 客户案例一 事件起源: 5月12日晚上22点24分,勒索病毒急剧扩散。...进一步对告警信息进行深入分析,发现5个恶意文件均通过邮件方式传播,在内部沙箱系统中验证典型行为:遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等,这些行为表明该恶意文件就是我们一直关注的勒索病毒...以下为其中一起事件中样本行为的沙箱分析: ? 事件处理: 1)发现该攻击事件后,安恒信息的技术人员第一时间通知客户,及时对该邮件和附件进行删除。...客户案例五 事件起源: 5月15日下午,部署在某客户网络中的APT设备发现了一个PDF文件,沙箱分析结果显示行为溢出成功、使用ShellExecute执行恶意文件等敏感行为,经过进一步分析发现,该PDF...进一步分析发现,都具有溢出成功,使用ShellExecute执行恶意文件等敏感行为,该PDF样本包含一个OpenAction,并直接指向ID:5的JS流,然后进一步通过指定服务器下载恶意程序,对本地文件进行加密操作

2K60

安全知识图谱 | APT组织画像归因

因此,业内均对APT组织画像归因开展了积极的探索工作,对APT组织建模,建立知识库,并结合知识库进行攻击仿真,以分析恶意行为特征,将恶意网络活动与特定组织或个人进行关联归因。...图1 基于攻击组织本体的上下文感知计算框架 首先需要定义以攻击组织为核心的本体结构,基于该本体结构设计上下文的采集模块和上下文推理模块,通过这些模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集...,一方面包括非实时的非结构化和半结构化的网页,公开性质的博客论坛,结构化(SITX)的开源威胁情报以及本地积累的攻击组织的威胁情报信息等;另一方面也包括结构化的网络威胁检测设备产生的告警日志和实时动态沙箱恶意软件分析报告...图3 攻击团伙活动监控界面 2020年10月至2021年9月期间,绿盟科技共监测并研判有效的APT组织的活跃线索57个,平均每个月活跃组织约19个。...图4 APT组织活跃态势 03 总结 虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对动态复杂的网络行为分析时,感知层输入往往缺乏安全语义的规范化建模,数据层恶意攻击的误报情况

1.2K30

利用威胁情报数据平台拓展APT攻击线索一例

线索 2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动分析,描述了攻击过程的细节和一些工具及网络相关的IOC。...在左边的相关安全报告,也理所当然地提供了FireEye文章的原始链接,除此以外我们还发现了另外一个指向到著名沙箱Payload Security上的某个样本执行沙箱结果信息链接,相应的文件SHA256为...我们知道PayloadSecurity上存储了大量样本沙箱行为日志数据,那么我们是不是可以在上面找找更多类似的样本呢?这个值得一试。怎么做呢?试试最简单的关键字匹配。...拓展 注意到上面那个已知样本连接C&C IP的进程名了吗?多年从事恶意代码分析的经验告诉我们,这个sigverif.exe进程在恶意代码的活动中并不常见。...启示 APT活动事件层面的分析本质上寻找关联点并利用关联点基于数据进行拓展的游戏,下面是360威胁情报中心整理的基于洛马Cyber Kill Chain模型关联点: ?

1.1K60

APT15组织研究白皮书

之后,我们发现名为Okrum的后门,该后门与该组织使用的恶意软件很大关联。在2016年12月第一次发现该后门,2017年该后门被用于斯洛伐克,比利时,智利,危地马拉和巴西等目标。...我们对这些攻击中使用的恶意软件分析显示,该样本与Ke3chang的BS2005后门以及2016年发现的针对印度大使馆的恶意软件密切联系。...Ke3chang在2015年的活动情况——Kertican后门 所有分析的Ketrican 2015后门样本都支持Ke3chang中使用的基本命令集,例如下载和上载文件,执行程序和shell命令,以及在配置时间内休眠...该报告是关于对TidePool恶意软件家族的研究,其中包括我们分析的两个样本。 Palo Alto 的研究人员称,TidePool恶意软件家族是BS2005恶意软件的变种,这也符合我们的研究结果。...例如将恶意有效载荷嵌入PNG图像中,采用多种反仿真和反沙箱技巧,以及实施中代码实现的频繁更改。从Ketrican样本中可以看到从2015年到2019年的演变和代码改进。

1.1K20

Any.Run交互式恶意软件分析沙盒服务现向公众免费开放

近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。...Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。...不同的地方在于沙箱将记录所有网络请求,进程调用,文件活动和注册表活动,如下图所示。 通过这种方式,你可以实时的查看任何的网络请求,正在创建的进程以及文件活动。...正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。 更多特性有待完善 尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。...虽然许多忠实的用户请求Any.Run尽快开放这些服务,但Any.Run向我们表示只有服务处于稳定状态后他们才会被添加。在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。

1.5K60

【连载】2016年中国网络空间安全年报(八)

其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁,但在对恶意样本分析的过程中,发现越来越多的逃逸和对抗样本,这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别...4.4.3 样本同源性分析技术 样本同源性分析技术是对APT事件追踪关键的一个环节,恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。...▲ 图 4‑18 勒索病毒行为调用过程 以下是样本同源性分析的具体思路: 通过沙箱可以提取所有样本的具体恶意行为,而其中一些样本是具有相应的规律的,尤其是出自相同的黑客组织,这些同源的恶意代码在具体的行为操作上有着相同或相似的片段...▲ 图 5‑1 勒索病毒分类 5.2 勒索病毒以遍历文件与加密行为为主 通过沙箱分析技术,可以对勒索病毒精准分类判断,通过沙箱取样分析并提取其中的关键行为,包括进程行为、文件行为、网络行为等信息,其中的典型恶意行为排序如下...▲ 图 5‑3 勒索病毒执行过程 在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为,用于对抗调试器的分析

1.7K40

关于火绒的12个技术问题

近日卡饭网友向火绒提出12个问题,从产品性能到核心技术。这些问题非常棒,无论提问者是网友还是友商,火绒团队都非常愿意一起探讨。我们尝试一一作答如下。 ?...4、样本区测试火绒时很多时候都是扫描未发现风险,双击报毒,请问官方人员,这是怎么回事?这不会对电脑产生危险?扫描又不报毒。...火绒官网的“火绒安全解决方案”第三章对此专门介绍。 5、官方说火绒未知病毒防御,请问这是指未知病毒被火绒的恶意行为拦截和系统加固阻止了未知病毒的风险行为而使得未知病毒无法破坏电脑?...不管是“系统加固”还是别的防御措施,根本上都是基于对病毒行为的认知,因此火绒团队始终将病毒分析作为核心工作来做,而不是获取样本后简单地加库。...12、火绒怎么在样本区检出率很低呢?而智量的检出率却很亮眼,火绒不是强大的虚拟沙盒?请官方人员做个解释。 回答: 关于检出率这个话题,火绒曾在《感谢您的质疑,容我们解释一二》里作过回答。

2.5K40

二进制程序分析指南

沙箱分析—Cuckoo 测试的过程中需要限制样本的影响,研究人员在沙箱解决方案中运行恶意软件样本沙箱工具通常提供内存转储分析功能,因此可以更好地了解内存中发生的情况。...黑客知道,如果他们的恶意软件样本在虚拟机或沙盒中运行,病毒样本会被轻易的执行、行为检测或者自动化的逆向分析出来,黑客会选择自我保护、伪装。其实黑客与安全研究人员的沙箱之间的攻防战争,从来没有结束过。...沙箱可以在本地部署,并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机),客户端数量取决于样本数量以及服务器性能。...可以通过web控制台访问,web控制台如下图所示: 在使用web控制台将文件提交到沙箱之后,样本会被执行,所有的活动都被记录下来,并包含在最终的报告中。研究人员可以通过web控制台访问报告。...Cuckoo沙箱几种报告格式,包括普通格式、MAEC(恶意软件属性枚举和特征)格式。

1.9K10

NuggetPhantom分析报告

样本分析 1高度模块化 这组恶意工具已被高度模块化,因此配置十分灵活。按照在该工具集中的主要功能,可将这组工具中出现的文件分别归类于部署、下载、功能这三种模块。...2谨慎部署,多重隐藏 最初被植入到用户计算机的文件即部署模块,攻击者在这一模块中主要使用以下技术和手段,用于隐藏其恶意行为和静态特征,以对抗分析检测: 重启后执行:通过msi程序的相关设置,使样本在用户手动重新启动计算机以后方可执行恶意行为...,可以绕过基于行为检测的沙箱环境。...代码保护:通过vmprotect保护留在用户计算机中的服务程序,以抵抗静态分析和杀软查杀,同时增加人工分析样本的难度: ?...名称校验:对自身文件名进行校验,若结果与其硬编码的预期结果不符,则不表现任何恶意行为。以此抵抗部分沙箱分析: ?

1K10

恶意软件分析– AZORult Info Stealer

以下是根据MITER ATT&CK策略和技术以及网络杀伤链(CKC)步骤评估的AZORult恶意软件样本的摘要特征。...在沙箱分析过程中未观察到自动执行,在研究代码时也未观察到任何自动执行参数。 执行 开发 事件触发执行(即T1546)和创建或修改系统进程(即T1543)技术用于劫持SVCHOST进程以窃取信息。...渗出 针对目标采取的行动 恶意软件标本身份 以下是评估的恶意软件样本的身份信息。...在具有默认名称的监视工具的沙箱中,恶意软件检测到它正在沙箱环境中运行,并跳至代码中定义的睡眠功能。...图12 Cookies目录中的恶意软件窃取信息 该恶意软件在窃取浏览器的cookie信息之后,使用WriteFile函数将窃取的信息写入文本(.txt)文件中。

1.6K20

21.S&P21 Survivalism经典离地攻击(Living-Off-The-Land)恶意软件系统分析

虽然恶意样本和良性样本之间的LotL二进制使用频率(prevalence)一些明显的差异,但我们也注意到一些类别存在某些相似性,如代理执行(proxied execution)。...值得注意的是,一些APT组多个活动样本,如APT28和Keyboy。 这表明APT组织在多个活动中使用了LotL技术。...---- 六.案例分析 在本节中,我们将调查并描述来自数据集中的两个勒索软件(ransomware)家族: (1) Gandcrab 我们在本地沙箱环境中执行了Gandcrab勒索软件样本,并记录了所执行的命令...此外,我们的研究表明,良性样本恶意样本之间的执行目的存在差异,为检测算法的发展提供了一个方向。事实上,最近的论文[71, 21]探索了这条前途的研究路线,以克服现有安全产品的局限性。...由于数据来自于云中托管的动态分析沙箱恶意软件使用的反虚拟机规避技术可能会影响数据质量。我们通过排除在沙箱中执行最少或执行过程中崩溃的恶意软件样本来减轻这种情况。

58620

19.USENIXSec21 DeepReflect:通过二进制重构发现恶意行为(经典)

虽然大多数组织提前对这些样本进行分类(triage),以减少要分析恶意软件数量(即,检查 VirusTotal来获取反病毒 (AV) 引擎结果、在受控沙箱中执行样本、提取静态和动态签名等) ,但最终仍然需要静态逆向工程的恶意软件样本...这是因为总会有新的恶意软件样本,没有被反病毒公司分析过,或者缺乏签名来识别这些新样本。最终,该样本可能会拒绝在分析人员的动态沙箱(sandbox)中执行。...我们评估了DEEPREFLECT的性能,包括五个工作: (1) 识别恶意软件中的恶意活动 (2) 聚类相关的恶意软件组件 (3) 将分析人员的注意力集中在重要事情上 (4) 揭示不同恶意软件家族之间的共享行为...---- 3.Research Goals 本文四个主要目标: G1:准确地识别恶意软件样本中的恶意活动 G2:帮助分析人员在静态分析恶意软件样本时集中注意力 G3:处理新的(不可见的)恶意软件家族...根据VirusTotal ,脱壳、过滤,在沙箱中执行获取家族标签。得到36396个恶意样本,4407个家族。

1K20

记一次小型 APT 恶意攻击

0012F2A8 处的值被覆盖为了 00630C12,其实,这个值覆盖成什么都行,下面的一个 call 会将该值修改为 00430C12兴趣的可以步入进去分析一下为什么。运行到返回地址处 ?...可以看到 00430C12 是 WinExec 的函数地址,用来执行构造的公式内容,下载 joe.src 并执行 接下来分析恶意样本 恶意样本分析 这个病毒非常恶心,经过了复杂的代码混淆,混淆器由 VB...这个 joe.src 样本肯定很多人都拿到了,但是基本上都没有把里面的银行木马拖出来,大部分人都是扔到沙箱里面进行运行,然而目前主流的沙箱并不能检测到这个银行木马的最终释放,剩下的内容,我主要分享脱这个银行木马的思路...最后 dump 出来的银行木马地址如下(只提供银行木马和 shellcode ) https://pan.baidu.com/s/1oV9mcVojEw-qOwARZW7uDg 小结 1、分析之前没有想到这个恶意样本这么复杂...2、这个银行木马藏的太深了,以至于从1月份的样本中提出来的银行木马竟然还能过那么多杀毒软件 3、这个银行木马我没有分析兴趣的可以自己玩玩,顺便给信安投个稿

1K00

恶意样本和威胁情报资源的分享

背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...2、https://capesandbox.com/analysis/ 这个平台各种类型的外挂样本,因为样本更新率很高,样本量也非常多,可以通过关注下载最新的一些恶意样本进行最新攻防方法分析和挖掘最新威胁情报...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析恶意样本获取。

46540
点击加载更多

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

更多标签

活动推荐

    运营活动

    活动名称
    广告关闭

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

    领券