对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。想要获取各种类型恶意样本的搜索时间成本相对会比较高。
样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。
溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。
做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
近日,在平时的威胁情报收集中,发现了一起韩国APT组织KimSuky的攻击事件,对整个事件进行完整分析之后,觉得自己对样本分析和流量分析的认识又上了一层楼,在这里分享给大家,希望可以一起学习进步。
响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
为什么在一些安全场景下使用半监督学习呢?大多数安全场景对应的安全数据都比较少,包括黑样本和白样本,样本数据的缺失直接限制了机器学习技术的应用,这是目前机器学习应用于安全实践中的难题之一。是解决问题还是规避问题呢?这个可以从有监督/无监督/半监督学习的角度来由果推因。如果想采用有监督学习的方法,那么需要大量攻击样本的和正常业务样本的积累,而现实的情况大多数可能是仅有少量攻击样本的积累,这就需要去解决样本数据的问题。
2016年中国网络空间安全年报 4.3 C&C服务器分布情况分析 C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。 本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。 4.3.1 大多C&C服务器活跃时间较短 根据安恒对截止到
这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚。
“看见”的能力始终伴随着“不看见”的能力,正如“太极”的两部分。什么是看见?看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。
Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。主体使用python开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件,沙箱系统即可自动分析,并在分析完毕后提供一个详细的报告,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件.
2016年中国网络空间安全年报 4. 网络空间中的APT威胁分析 美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report),在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,在几乎世界上的每个角落都发现过恶意软件的服务器,并且攻击行为愈演愈烈。 下文从安恒APT云端的海量攻击样本中,对APT的攻击特点与事件进行分析,其中木马程序成为了APT攻击常用工具,黑客通常采用恶意木马进行终端信息搜集与回联控制,为了深入说明APT
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
根据上级开展挖矿专项整治工作,针对当地网吧、酒店等地区开展挖矿排查,此事件便是挖矿专项整治工作中的一例典型。
PS:以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次条件极为有限的排查。 0x01 确认到手情报 首先来看一下,同事手上有啥情报。
传统网站安全检测方式 当前的网站安全检查都是通过静态扫描的方式,来检测网站存在的漏洞和后门等安全问题,以是否存在漏洞来判断网站是否“安全”,这种检测方式通常都是依靠漏洞的“特征”,但是,黑客攻击的方式
一、 漏洞简介 CVE-2017-0199漏洞是一个Office远程执行代码漏洞,该漏洞利用Office OLE对象链接技术,将伪装的恶意链接对象嵌在文档中,由Office调用URL Moniker(COM对象)将恶意链接指向的HTA文件下载到本地,通过识别响应头中content-type的字段信息调用mshta.exe执行下载的HTA文件。 受该漏洞影响的Microsoft Office版本包括:Microsoft Office 2016、Microsoft Office 2013、Microsoft O
在经历过期末学习怠倦期后,我战战兢兢地打开了(自己搭的蜜罐抓不到样本(╥ω╥`) )
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
Q1:机器学习和深度学习在文本日志分析领域有做得比较好的案例吗?面对这么庞大的日志,貌似目前都没有一个很好的解法,这个相信很多同学都碰到类似的问题,不管监督还是非监督学习,对于未知文本分析都起不了很好的作用,总不能人肉长期来分析,也不是特别合适,不知道老师对这方面的看法是如何的? 关于文本挖掘是有专门的领域来研究的,如果是形态比较好的日志,那么分析的手段就比较多了,因为里面会有大量的带有强烈的提示性的ERROR或者WARNING等。如果是文字比较多,那么也是NLP研究的一个范畴。这类应该还是比较典型的监督学
安天CERT(安全研究与应急处理中心)在2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果,诱导受害者启用恶意宏代码,向Word进程自身注入Shellcode,最终在内存中解密和运行后门程序。根据对该后门的深入分析,我们发现该样本来自海莲花组织。
机器学习被越来越多地应用到安全场景中,如:恶意邮件检测、入侵检测、WAF等,但是其现实效果饱受诟病,鲁棒性问题往往无法解决,如:A环境下训练的模型换到B环境中不适用,T时刻训练的模型在T1时刻不适用,这导致更换环境时需要标注大量样本,并且模型要定期更新。这种现象在机器学习领域被称之为“概念漂移”,指的是一个模型要去预测的一个目标变量随着时间的推移发生改变的现象,这种现象在安全领域这种高度动态的场景中尤其明显。本文介绍一种检测概念漂移样本、并对结果提供可解释性的方法,该方法来自2021年Usenix Seurity的一篇论文[1]。
背景 2018年1月31日,韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告,并称早在2017年11月中旬,就有黑客利用该漏洞实施有针对性的攻击。 2018年2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的AdobeFlash零日漏洞被发现针对韩国地区的人员发起攻击,该0day漏洞编号为CVE-2018-4878。 2018年2月5日,Adobe官方发布漏洞补丁,修复CVE-2018-487
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司,面临入侵的威胁也越大,即便是Yahoo这样的互联网鼻祖,在落幕(被收购)时仍遭遇全量数据失窃的事情。安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。
VirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。
通过邮件投递病毒文件是网络攻击常用的一种方式,因此防御邮件攻击是每个安全团队都需要重点考虑的内容。中兴通讯每天都会收到数万封外部邮件,为了及时检测每封邮件是否含有恶意文件,中兴ZInsight团队部署了自研的高级邮件防御系统,针对每个邮件附件,通过动态行为分析的方式检测是否存在威胁。本文介绍近期捕获的一起攻击事件,分析其攻击过程。
1. 事件 WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武器库中的7个漏洞进行传播,包括SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)。 永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。感染用户电脑后
近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。
各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 万维网联盟拒绝谷歌和Mozilla对分散标识符(DID)提案的反对意见 2. 欧盟举办超大规模网络安全演习:医疗基础设施遭全链条打击 3. Jenkins 安全团队披露了 29 个受 0Day 漏洞影响的插件 4. NPM 供应链攻击影响数百个网站和应用程序 5. PCI DSS 4.0发布以应对新兴威胁和技术 6. OpenSea
今天为大家介绍在kali linux 2020系统中cuckoo软件及沙箱的安装、配置和使用方法。
对企业安全建设来说,人是最大的安全威胁因素,系统再牢固、资产再收缩,也架不住内部员工被社工、被骗后轻而易举的进行破坏。
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。
自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预警平台(以下简称APT设备),在为客户提供免费技术支持的基础上还提供了专家现场支持,帮助用户分析病毒感染情况。 在近几天的支持过程中,安恒信息通过APT设备不但捕获到了勒索病毒大面积扩散的证据,还及时捕获到了勒索病毒变种后的样本和扩散源。以下是安恒信息技术专家在客户现场进行技术支持中捕获到的几起典型案例样本,以及样本进行及时处置的说明。 客户案例一
根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里
前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运,我们团队近年来获得过第1、2、4、6、7、8名,不过也存在很多遗憾,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!
今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。github地址为:
该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。
之前看待事物总是看其一角,做技术也是囿于一面,思维不是很开阔,经过不断地看书,思考,认知慢慢有了 改变,获益良多。
由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
已经有不少朋友从后台咨询我怎么学习恶意样本分析?有做渗透测试的,有做大数据分析的,还有做应急响应、安全服务的,一直想给大家写一篇关于如何学习入门恶意样本分析以及在当前企业安全的环境下,做恶意样本分析到底有什么作用?因为只有知道它有用,你才会花时间去学习。
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多陌生人。
近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像GandCrab的黑产团伙出现,因为只要有利益的地方,就会有黑产。
上月底,权威科学杂志Nature发表了一篇关于谷歌人工智能程序AlphaGo击败欧洲围棋冠军的文章,其中介绍了AlphaGo程序的细节,它实际上是一个结合了深度学习与树搜索(tree-search)的程序。虽然,对弈发生于去年十月,但还是在网络及朋友圈引起不小轰动:人类智力最后的骄傲崩塌了吗? 在对问题进行肯定或否定的回答前,我们先来了简单了解一下这些概念。 FreeBuf百科:什么是人工智能、机器学习和深度学习 图片来源:《从机器学习谈起》 人工智能 AI 作为计算机学科的一个分支,按字面理解,
反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在侵权或不足之处,还望告知,加油!
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
