已经有不少朋友从后台咨询我怎么学习恶意样本分析?有做渗透测试的,有做大数据分析的,还有做应急响应、安全服务的,一直想给大家写一篇关于如何学习入门恶意样本分析以及在当前企业安全的环境下,做恶意样本分析到底有什么作用?因为只有知道它有用,你才会花时间去学习。
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
这不是废话吗,在我们正式开始自己的探索之前,先让我们相信一下,“医生”的判断。 总所周知,杀毒软件存在着误报,漏报等多种不可靠情况。接下来,我要告诉你的是如何通过正确姿势,尽可能的避免之前所说的问题。
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
最近一段时间在面试病毒相关岗位,有的公司会电话、远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告。下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。
作者前文介绍了OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。接下来的系列将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。
1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。火绒工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,火绒工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。
上周五,神秘的影子经纪人(Shadow Brokers)再放大招,曝光了NSA使用的极具破坏性和杀伤力的Windows系统漏洞利用工具。研究人员发现,该工具可能与Stuxnet相关。 此次曝光的NSA大杀器中,有几处地方提及了先前被斯诺登披露的NSA绝密计划和软件,例如用来控制远程植入程序的“STRAITBIZARRE”,以及入侵SWIFT系统的“JEEPFLEA”项目,这些线索都侧面映证该批工具从NSA精英黑客团队“方程式组织”处获取的可能性。 与Stuxnet的相关性线索 脚本关联性 但令人诧异的是
本病毒使用了去符号表、敏感信息混淆、int 0x80执行系调函数、sh -c 执行bash脚本获取相关信息等技术来做免杀处理,但是不足的点也很明显:
前文分享了深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施。这篇文章将详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。希望文章对您有所帮助~
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在侵权或不足之处,还望告知,加油!
请注意,本文编写于 1578 天前,最后修改于 783 天前,其中某些信息可能已经过时。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
近日调查发现,载有安卓系统的智能手机在用户隐私、用户财产安全方面隐患严重。其中有一款病毒入侵软件叫“家人定位”,它可轻易获取手机的实时位置、通话记录、短信记录、电话录音,还可实现网络自动开启,手机隐私一览无余。 截至目前,每日监控到1.5万部安卓设备被病毒感染,绝大部分病毒会造成资费损失,很多病毒进行混合攻击,会造成用户既有资费损失,又丢失个人信息。 手机感染病毒后,最明显的损失是流量消耗、订购付费服务导致的资费损失和隐私信息被窃。仅从黑客圈流传的7月份数据分
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。
在发送 xml 名片时,需要先选择一个对象,我们首先要找的是选择的 call。找到了选择的 call,就能确定要发送的对象的微信 ID 的地址了。有了要发送对象的微信 ID 的地址之后就能下一个内存访问断点,通过栈回溯找到发送 xml 名片的 call
《计算机病毒分析与防范技术》知识点整理 本知识点涵盖期末考试的内容,请自行完善,以便用于开卷考试。
2021-01-13日一种名为incaseformat的蠕虫在国内爆发,该蠕虫执行后将删除被感染计算机所有非系统软件,蠕虫设定的下一次删除时间为1月23日,建议各用户做好U盘防护及查杀工作。
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将回到逆向知识,利用Cheat Engine工具逆向分析游戏CS1.6,并实现无限子弹功能。基础性文章,主要让大家看看逆向基础,并给反外挂工程师一些思考和借鉴。同时,本文参考B站老师的视频(文末),希望对您有所帮助,如果存在错误或不足之处,还望告知,侵删,加油!
关于upx的脱壳的文章比较多,基本上都是Windows平台下的脱壳文章,处理起来比较简单。FormSec将在本文中分析一款mips下病毒程序使用的upx壳保护手段。 在应急事件处理过程中,提取到病毒
科学家已经开发出一种机器学习算法,可以帮助找到病毒的原始宿主。新工具有希望帮助做出针对致命疾病的预防措施。
分析有用的字符串,大致猜测该病毒的功能,此病毒有请求域名服务器、注册服务、修改字符串、调用 cmd 命令行执行程序等功能。
行为分析主要是通过系统监控软件,监控系统中各资源或环境的变化,比如监控注册表、监控文件、监控进程,以及监控网络等。当然了,还可以通过 HIPS 软件来监控病毒的行为。各类系统监控工具或者是 HIPS 软件都是在系统的不同层面上进行了不同方式的 HOOK。比如说在内核层进行 HOOK,在应用层进行 HOOK。HOOK 的方式也是多样化的,比如直接 HOOK API 函数,或者 HOOK SSDT 表中的内核函数。
最近几年,伴随着数字货币的兴起,促进了经济利益驱动型黑客行为的暴增。各位做安服和应急的小伙伴不可避免的会与各种勒索病毒、挖矿病毒以及各种蠕虫病毒打交道,通过分析各大厂发的技术文章, 其主要使用逆向分析还原原始代码来了解病毒相关的功能与特征。
github:https://github.com/doukoi-BDB今日主题:
近日,火绒安全实验室发现一种新型Rootkit病毒新变种,该病毒利用传奇私服登录器进行传播,用户中毒后桌面上会出现名为“JJJ发布站”的快捷方式,并且删除后会重新被释放到桌面。当用户访问传奇相关的网页时,会被劫持到病毒作者预设的劫持网页。且该Rootkit病毒会通过文件自保对抗安全软件查杀,还会将系统版本和计算机名等终端信息上传到病毒服务器。
第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。
作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议;这篇文章将详细讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、系统安全紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
1、CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用。
2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。
近日,深信服发现一种具有高强度病毒对抗行为的新型的挖矿病毒,其病毒机制与常规挖矿相差较大,一旦感染上,清理难度极大。目前该病毒处于爆发初期,深信服已将此病毒命名为EnMiner挖矿病毒,并将持续追踪其发展状况并制定详细的应对措施。
今天碰到一个比较厉害的病毒,会自动感染网站目录下面的index.php和.htaccess等文件,感染之后网站打不开,其他的影响不清楚,这里记录一下病毒分析和解决方法。
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
本文文章不涉过多及脱壳和逆向技术,仅对病毒作行为分析,相对简单易学。逆向苦手不用害怕。
刚工作的时候,我听说某某大牛在做病毒分析时,只是用notepad打开病毒文件,就能大致猜到病毒的工作原理。当时我是佩服的很啊,同时我也在心中埋下了一个种子:我也得有这天。随着后来的工作进行,一些任务的和这个理想有了交集,这得以让我有足够的时间和精力去细细研究PE文件和COFF文件格式。(转载请指明出处)
可以看到,病毒的主要起因是利用了Linux预加载型恶意动态链接库的后门,关于Linux预加载的知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库的后门
前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运,我们团队近年来获得过第1、2、4、6、7、8名,不过也存在很多遗憾,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!
该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。
github:https://github.com/BlackINT3/OpenArk/
3.因为加了网络套餐vt中有杀软会检测一个,问题不大后续准备测试解决掉。本次更新以前的本地加载也可以用,加密匙锁死了。
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
随着技术的发展,每年网络威胁都在不断增加,2013年更是如此。无论是恶意软件,还是网络攻击数量,2013年都出现大幅增长。根据安全实验室收集得到的数据表明,今年全球网络威胁水平总体增长6.9%,41.6%的用户电脑至少遭受过一次攻击。网络罪犯今年为了在网上发起这些攻击,使用了10604273个独立主机,比2012年增加了60.5%。美国和俄罗斯是恶意网页资源的主要地区,随着移动设备的流行,移动安全问题持续增加。其复杂度和数量均达到了新高度。大多恶意移动应用主要为了窃取钱财,其次是个人数据。安
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
*本文原创作者: ArthurKiller,本文属“WitAwards 2016年度安全评选”专题报道,未经许可禁止转载 火绒,国内一款新兴的免费杀毒软件。该软件安装包只有9.1 MB的大小,却包含了防火墙,杀毒引擎,HIPS,弹窗拦截,文件粉碎,垃圾清理,火绒剑,系统右键管理等功能。 1.5MB大小的病毒库却可以抵挡千万种流行电脑病毒。虽然作为一款创业公司的产品,火绒却有着自己的“坚持”——国内大部分免费杀毒软件都是OEM其它公司的杀毒引擎。 火绒自主研发了杀毒引擎;在“捆绑、弹窗、私自上传、篡改电脑”的
领取专属 10元无门槛券
手把手带您无忧上云