声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
卡巴斯基持续关注分析Roaming Mantis相关网络活动。该组织的攻击方法有所改进,不断在新的攻击目标上窃取资金。攻击者利用白名单和运行环境检测等技术避免被分析溯源。...再次说明犯罪分子在活动中总是利用热点话题。 白名单功能 Roaming Mantis在Wroba.g登陆页面(目前仅在朝鲜语页面)中采用了白名单功能,可逃避安全研究人员。...2019年,APK文件中使用Multidex隐藏恶意加载模块,分析表明它正在被一点一点地修改: ? 用红色正方形标记的类${num}.dex是恶意加载程序模块,所有其他的DEX文件都是垃圾代码。...目标分析 Wroba.g的目标是日本的运营商和在线银行,攻击者将受害者重定向到钓鱼网站,以窃取凭据: ?...当恶意软件在受感染设备上检测到日本在线银行或特定移动运营商时,它会在后台连接到pinterest.com的恶意帐户获取钓鱼网站。
Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写
样本分析 进入主函数后读取资源“JUYFON”。 查看文件资源“JUYFON”应该为一段加密后的数据。...应该是一个有更复杂功能的dll木马文件,且load该dll并没有去call 其他导出函数,猜测该dll的恶意代码都在dllmain里面。...样本信息 Md5 28833e121bb77c8262996af1f2aeef55 此样本上传时间稍早,代码结构完成一致,粗略分析仅两处与上一个样本不同: 1.生产的迷惑文件文字不同: 2.c2服务器的域名及...,并且Kimsuky攻击活动中曾经使用过,同时结合样本的掩护文档的内容,可以确定被攻击者目标是韩国大学相关人士,完全符合以往Kimsuky的攻击意图,因此可以断定此样本的来源大概率是Kimsuky。...总结 通过分析可以看出最新的样本依然有多阶段方便攻击者重新组合攻击工具的特点,目前知道创宇NDR流量监测产品已经支持对次APT攻击活动的精准检测: IOC MD5: adc39a303e9f77185758587875097bb6
为了进一步震慑黑客组织与网络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是: 同源分析: 利用恶意样本间的同源关系发现溯源痕迹,并根据它们出现的前后关系判定变体来源。...为了进一步防御网络犯罪活动和威慑黑客组织,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。...恶意攻击的活动大概有如下7步骤(kill-chain模型): Reconnaissance:侦查,充分的社会工程学了解目标。 Weaponization:定向攻击工具的制作。...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。...Mirai僵尸网络就是一个很好的例子,攻击者主要利用物联网设备默认口令的问题,感染大量设备,之前沟通对其攻击模型的匹配,可以清楚的了解的组织的活动轨迹,并且通过对每一次活动留下的线索进行关联分析,最终定位到了攻击者团伙
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
关于Norimaci Norimaci是一款针对macOS的轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动(没有使用Sysinternals...在该工具的帮助下,广大研究人员可以轻松监控macOS下的恶意软件活动情况。...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git 工具使用 结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它的kext文件; 3、运行一个恶意软件样本; 4、等待一段时间
写在前面的话 xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。...具体分析请大家继续阅读下文。 TriFive和Snugy后门 在2020年9月份,我们发现xHunt攻击者入侵了科威特的一家机构组织。...我们在分析服务器日志时,发现了两个由攻击者创建的计划任务,这两个任务都会运行恶意的PowerShell脚本。...我们认为,攻击者选择这个任务名称主要是为了隐藏自己的攻击活动。...Snugy是CASHY200后门的一个变种版本,攻击者也曾在之前的xHunt活动中使用过这个后门。
零信任最早由Forrester 分析师John Kindervag于2010年提出,它既不是一项技术,也不是一款产品,而是一种新理念,基本原则是“从不信任,总是验证”。...在系统的监视下,网络中的每一个活动都被记录在案,并且经过可视化安全分析,可以有效辨别出哪些是异常账户,勒索软件和恶意操作都清清楚楚地展示在你的眼皮底下。...因为在零信任架构中,用户的每个网络活动都是潜在的威胁。要实现这种模式,需要:远程身份验证、访问协议、外围安全和网络访问控件。...从云端到浏览器端,都有一种机制,这种机制就是:安全沙箱。安全沙箱属于浏览器架构层面的安全防护,有了安全沙箱的存在,可以尽可能降低攻击带来的伤害程度。...沙箱技术有很多种类,是否能称之为“安全沙箱”,则视乎其隔离的程度和自身的技术目的。
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
我们今天看到的活动是关于一些Magento1网站的,而这些网站已经被一个非常活跃的skimmer组织所入侵了。...通过分析后我们发现,去年秋天被发现的Magecart Group 12就是Magento 1攻击事件背后的始作俑者,而这个组织现在仍在继续传播新的恶意软件。...Web Shell以favicon的形式隐藏 在对Magento 1网站使用网络爬虫进行分析时,我们检测到了一个伪装成favicon图标的新型恶意软件。...为了对这个Web Shell进行深入分析,我们将其进行了反向解码。我们看到,它会从一台域名为zolo[.]ow的外部主机获取数据。...在对m1_2021_force目录进行深入分析之后,我们发现了专门针对信用卡数据窃取的专用代码。
风险因素超过50% 分析总结 Rewterz观察到由APT-C-35小组发起的鱼叉式网络钓鱼活动。...根据对Excel文件的详细分析,可以发现Excel包含20个不同的工作表和嵌入的恶意宏代码。...该恶意软件的设计与Windows环境兼容。 以下是此攻击的完整流程图。 通过分析发现行为 以下是此恶意软件的行为: 当受害者打开文档并启用宏时,受害者将看到以下消息框。...在分析部分中说明的相关目录中搜索gapdat.exe,sqmap.dll和s.bat并将其删除。 禁用Bat扩展文件执行。 密切监视rundll32.exe进程是否存在任何可疑活动。...以上分析是在Rewterz威胁情报实验室的受控环境中执行的。如果您有任何需要分析的恶意软件样本和二进制文件,请与我们联系。 结论 分析后得出结论,示例excel文件充当信标。
利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。...概要 8月初,我们接收到了一类大量感染利比亚国内安卓手机用户的恶意软件样本,这些样本尤其在黎波里和班加西比较活跃,它们通过手机Telegram程序广泛传播,主要针对有影响力的社会名流和政治人士。...该类恶意软件感染手机之后,会继续向通讯录人员散播恶意程序Voice Massege.apk,形成更大的受害者网络。 经我们调查分析,确信这是由某政党发起,并以情报收集和秘密监视为目的恶意软件攻击活动。...VirusTotal,经比对发现,VirusTotal库中还没有这类型恶意程序记录,这是首例上传样本。...Sinkhole Sinkhole技术:通过实际网络设备模拟真实网络环境,形成网络沙箱(Sandbox)。
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
恶意刷新 恶意刷新就是不停的去刷新提交页面,导致出现大量无效数据,这类问题在实际应用中我们经常遇到,比如一个活动的分享得积分,刷票,刷红包等等,遇到这些问题,你是如何去防止的。...当你在做一个刷红包的活动,或者一个分享得积分的活动时,频繁的被刷新会导致数据库吃紧,严重时会导致系统死机。遇到这方面你是如何防止恶意刷新页面的,说白了也就是恶意刷新你创建的链接。...下面我们来看看防止恶意刷页面的原理: 1 要求在页面间传递一个验证字符串; 2 在生成页面的时候 随机产生一个字符串; 3 做为一个必须参数在所有连接中传递。...我们可以从session方面防止用户恶意刷新。 代码如下: 方案一: <?
AntiCuckoo、AntiVBox、AntiVMWare(其中Cuckoo为一个虚拟化沙箱系统,VBOX和VMWare则为我们熟悉的两款虚拟机)。...安恒安全研究团队对这部分进行了分析。分析如下。...0x01 AntiCuckoo AntiCuckoo的具体代码如下图所示: 我们先分析cuckoomon中hooking相关的源码: 可以从源码中看到DllMain()中调用了sethooks()函数,...在AntiCuckoo()中,将fs:[0x44]空间内存填充为1,扰乱了pre_tramp正常执行,导致程序异常,不能继续执行,从而绕过了cuckoo沙箱。...0x04 总结 恶意程序能够利用这些反沙箱反虚拟机的方法,使其在特定虚拟机或沙箱环境下不正常执行,从而绕过沙箱的行为分析和检测。
CAPEv2](CAPEv2/Emotet.py at f2ab891a278b2875c79b4f2916d086f870b54ed5 · kevoreilly/CAPEv2 (github.com)) 沙箱的提取代码...,在前面奇安信攻防社区-APT 恶意 DLL 分析及 C2 配置提取(子 DLL 篇) 分析的基础上尝试编写自动化配置提取,如有错误还请指正。...pip install pycryptodomex pefile——应用 PE 结构模板,定位文件头和节表区的字段和数据 标准库:struct、socket、itertools 编译器: vscode 样本...7f94107c9becbcc6ca42070fca7e1e63f29cdd85cbbd8953bbca32a1b4f91219 ECC 密钥提取: 首先在 IDA 或 XDBG 中定位到解密的代码的特征数据区,由于之前分析得很详细了...positioning_c2_data(file_data)) #返回的结果为('c2_list_offset:', '0x21e00') 同理编写 C2 解密代码:(成功提取) 以前的分析中说过了公钥在加密中的数据格式
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
