首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/.../any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https

2K30

一个Hancitor恶意邮件活动Word文档样本分析

与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

1.6K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    SNDBOX:结合人工智能与机器学习的恶意软件分析平台

    因此,来自以色列的网络安全以及恶意软件研究人员Ran Dubin和Ariel Koren博士开发并在Black Hat大会上发布了一款革命性的产品——以人工智能驱动的具有机器学习能力的恶意软件研究平台—...此外,SNDBOX还可以与各种第三方平台相互集成,能够参考其他来源的样本、调查信息,通过行为模式、向量、属性、标签等多个载体对恶意软件信息进行汇总。...除此之外,还会对各种签名和可疑活动进行检测,例如恶意软件是否适用Tor网络进行加密通信等。...SNDBOX数据库的搜索功能 每个记录在案的恶意软件样本都会上传SNDBOX平台,相关结果都可通过搜索结果公开访问。...除此之外,用户可以免费查看和下载任意已提交的恶意软件样本的PCAP文件(捕获的网络流量)以及样本本身的完整报告。所有用户都可以通过平台沟通交流,分享见解、资源、IOC等等。 ?

    1.3K40

    腾讯安全威胁情报中心“明炉亮灶”工程:​自动化恶意域名检测揭秘

    00 导语 构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。...黑灰域名标注数据来源于安全分析专家对可疑域名数据的人工鉴定。...通过对安全事件、威胁访问等数据进行规则挖掘,得到了大量潜在恶意的域名,安全专家通过对这些恶意域名进行溯源、分析,来判定这些域名是否为恶意域名,在MDDE-core的建模过程中,选取了这些人工鉴定恶意域名作为黑...同时,通过对恶意域名的结构进行分析发现,一些属于同一二级域名的子域名往往从事一些相似的威胁活动,为了避免同类型域名数据的冗余导致模型过拟合,在黑域名标注数据的构建中,在同一二级域名上,随机抽取固定量的子域名作为黑域名...受益于腾讯海量安全数据的积累,恶意域名的溯源和分析有了充足的背景知识和数据集成平台,这为MDDE-core的构建提供了两个维度的准备,一是丰富的样本特征,如DNS、URL等数据,让威胁鉴定有了充足的上下文

    4.2K50

    刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结

    刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结 ?...二.样本信息介绍以及分析 1.样本信息介绍 在本次尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了14个样本,均为windows样本,其中12个样本是释放诱饵文档的可执行文件,2...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...而在2019年7月份捕获的尾蝎APT组织样本中该组织的编译戳为2019.7.14 11:08:48而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00,也就是置0....尾蝎本次活动样本流程图-pic121 该组织拥有很强的攻击能力,其载荷涵盖较广(Windows和Android平台).并且在被以色列进行导弹物理打击后快速恢复其攻击能力.对巴勒斯坦地区进行了一波较为猛烈的攻势

    2.9K11

    刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结

    以下文章来源于Gcow安全团队 ,作者追影小组 刺向巴勒斯坦的致命毒针——尾蝎 APT 组织的攻击活动分析与总结 封面-pic1 一.前言 尾蝎APT组织(又名:APT-C-23),该组织从...二.样本信息介绍以及分析 1.样本信息介绍 在本次尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了14个样本,均为windows样本,其中12个样本是释放诱饵文档的可执行文件,2...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...而在2019年7月份捕获的尾蝎APT组织样本中该组织的编译戳为2019.7.14 11:08:48而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00,也就是置0....C&C报文的演进-pic120 四.总结 1.概述 Gcow安全团队追影小组针对尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解 尾蝎本次活动样本流程图

    2.6K10

    你真的了解病毒分析吗?反病毒专家深度揭密

    ,安全公司扫描引擎的主要作用就是样本的分类,但是不管是任何一家公司开发的引擎都会存在误报、漏报的问题,这样就需要一批人从事样本的快速鉴定与筛选工作,这类工作就是批量点样本,快速鉴定样本,每天一个样本鉴定人员可能需要人工处理上百个样本...上面的工作需要有一些快速鉴定样本的能力,说实在话,如果一直从事这样的工作,真的会很枯燥无味,像流水线上的机器人一样,每天重复做着差不多的劳动,也不需要知道太多的恶意样本分析知识,只需要知道一些简单的知识即可处理...,然后再深入的研究学习病毒知识,真正的成为一个恶意样本分析员,而不是简单的样本鉴定人员,其实任何一个行业都是如此,先简后难,真正要成为一个行业某个领域的专家,绝不是一两天的事情,需要持续不断的学习和研究...由于现在安全大环境,黑产团队会通过各种不同的恶意样本攻击各种不同平台的,但是现在做企业安全,目前来说主要是以Window/Linux平台为主,云安全服务器主机也主要以Windows/Linux为主,MAC...恶意样本分析是一项非常复杂的工作,需要学习的东西很多很多,涉及到的知识面也很广,后面可能还会遇到各种不同平台的文件需要分析,做恶意样本分析工作真的需要不断的学习,同时还需要跟各种恶意样本分析专家进行交流

    1.9K30

    疑似尾蝎APT组织近期针对巴勒斯坦地区的攻击活动分析

    ) 02详细分析 样本1 样本1与我们在去年《近期尾蝎APT组织利用伪造社交软件等针对多平台的攻击活动分析》[2]一文中披露的windows平台样本相似,均为Delphi 语言编写,且携带一个隐藏的窗体...在本次攻击活动中,尾蝎组织尝试使用新的方式驻留在受害主机中,通过获取驱动器根目录下指定后缀文件,将其加入自身资源区段中,进而释放新的副本在驱动器根目录下。...相关指令功能如下: 溯源与关联 对此次捕获样本攻击手法,代码逻辑层面分析,发现此次捕获的攻击样本尾蝎APT组织常用攻击手法,恶意代码基本一致。...经关联分析,我们从样本库中关联出一些与VC版本后门代码几乎一致的样本,释放的诱饵以及C2均为同一个 以及发现一例与以往捕获Delphi版本后门样本相似的样本,释放与教育相关的诱饵文档。...样本成功执行后展示的诱饵文档如下: 总结 尾蝎组织是常年活跃在中东地区APT团伙,其具有Windows和Android平台攻击武器,且仅Windows平台恶意代码就丰富多变,具有多种语言编译的后门

    2.5K10

    对利用CVE-2017-0199漏洞的病毒变种的监测与分析

    二、安天追影对样本分析 在对利用CVE-2017-0199漏洞的一些样本及变形的分析中得出了该类样本的一些惯用攻击手法。...2)安天追影具备连接外网的条件,且攻击者的远程命令与控制服务器仍正常工作 这种情况下,安天追影的动态分析环境能够访问真实的互联网,样本在运行中能够成功地访问到存放恶意文件的C2服务器,下载C2服务器上的恶意文件并执行...安天追影可通过动态还原恶意样本的执行过程,利用hook和注入技术监测样本各执行阶段的操作,采集实时运行数据,根据自定义规则进行行为判定,深度输出样本行为。 ?...2、单独部署 安天追影单独部署到用户内部网络中,对投放至安天追影中的文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于未知样本分析研究、已知病毒样本分析研判等。 ?...4)与OA系统联动:对文件进行鉴定分析,根据鉴定结果标识文件,方便文件管理。 5)文件存储服务器:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理。 ?

    1.6K70

    尾蝎(APT-C-23):伸向巴以两国的毒针

    进一步分析,还发现了部分恶意程序下载链接。...二、 诱饵文件 尾蝎行动中主要使用两种文件形式。 一种是通过 winrar 的自解压功能将相关样本文件和诱饵文件打包为exe 文件,运行该 exe 文件,会释放出恶意样本并打开诱饵文件进行伪装。...第四章 后门分析 一、 Android Android 平台相关后门程序可以在拨打电话或是收到来电时,开启录音功能: 图 11 监听电话 并且通过拦截短信,可以根据短信内容开启录音或是上传录音文件功能:...第六章 关联分析 本章主要就尾蝎攻击行动中使用的恶意代码、C&C 服务器等层面进行关联分析。...3) PDB 路径有一定地域特征 表10 PC 样本 上表是 PC 平台中 PE 文件的 PDB 路径,这个路径就是恶意代码作者本机的文件路径,从相关用户名“USA”、“Yousef”来看,这些用户名更多出现在阿拉伯中东地区

    3K100

    网络托管巨头百万数据外泄、超900万安卓设备感染木马|11月24日全球网络安全热点

    进一步的研究表明,在过去三个月中,总共155个样本中至少存在三种不同的RATDispenser变种。虽然这些样本中的大多数是dropper,但有10个是通过网络通信以获取恶意软件的下载器。...恶意软件分析师发现恶意软件的主要功能是收集有关用户及其设备的信息并显示广告。...除了这些正在进行的网络钓鱼攻击之外,威胁行为者还可能开发工具来诱使潜在目标泄露信息,从而通过拦截电子邮件和入侵帐户来绕过帐户保护因素身份验证(2FA)。...“Talos已经在野外检测到试图利用此漏洞的恶意软件样本,”思科Talos安全情报与研究小组的技术负责人Jaeson Schultz说。...然而,正如Cisco Talos的外展主管Nick Biasini告诉BleepingComputer的那样,这些漏洞利用尝试是小规模攻击的一部分,可能专注于测试和调整漏洞利用以进行全面的攻击活动,研究人员已经追踪到几个恶意样本

    85120

    2022年第一季度AI药物研发领域合作回顾

    简要分析 从合作的数量来看,1月份达成的合作比较多,这或许与JP摩根医疗健康大会在1月份召开有关。...Exscientia和Sanofi 2022年1月7日,赛诺菲和Exscientia宣布了一项突破性的研究合作和许可协议,利用Exscientia的端到端人工智能驱动平台,利用实际的患者样本,开发涵盖肿瘤学和免疫学的多达...BigHat和Amgen 2022年1月11日,拥有人工智能/机器学习引导的抗体发现和开发平台的生物技术公司BigHat Biosciences宣布,已成功完成了与安进的先前未公开的第一阶段研究合作,并与安进达成许可协议...根据协议条款,天演药业将负责早期研究,利用天演药业的SAFEbody技术,开发赛诺菲提供的新一代单克隆与特异性抗体的精准掩蔽型安全抗体,赛诺菲将完全负责后期研究和所有临床、产品开发和商业化活动。...根据协议条款,Iktos将应用其AI技术平台和专有技术,帮助基于全面的数据驱动的化学结构生成技术为药物发现过程带来新的见解和方向,以补充Ono的药物发现计划,以加快鉴定针对Ono Pharmaceutical

    74130

    游戏黑灰产识别和溯源取证

    情报分析 : 情报的实现原理分析样本原理分析、高危玩家,黑灰产场景,黑名单库,作弊工具集,作弊作者库。 情报溯源: 溯源黑灰产作者信息、固定作者的黑灰产证据。...源数据层: 设备环境数据、三方情报、风控数据、业务数据、恶意可疑样本检测 数据开发层: 异常环境数据、异常业务数据、防控策略。...溯源分析层: 情报数据自动溯源分析样本分析、网络特征、作弊方案分析 数据存储层: 外部黑灰产识别数据,黑灰产数据规则 数据应用层: 防控、风控、打击、大数据关联。...基于蜜罐技术和情报挖掘能力构建黑灰产监测平台,主要监测黑灰产交流渠道、攻击工具、攻击流量、使用资源(比如: 恶意IP、恶意手机号、恶意账号等),并将数据进行沉淀形成业务情报平台。...打击取证 游戏黑灰产的整个打击可细分为:溯源、分析、报案、取证、打击五个阶段。 溯源阶段 : 需要通过检测数据、异常日志、行为、样本,明确作弊手法、作弊工具。

    3.2K30

    为小姐姐疯狂打call,防水墙拒绝“千手观音”刷票

    短时间内整合黑产资源拿到大量业务帐号、对接打码平台使用定制的自动化软件,锁定目标大量刷取活动资源。...如:为京东“618”、“11”保驾护航;为斗鱼、快手、bilibili等提供注册和营销保护;为东鹏特饮、蒙牛、可口可乐等“一物一码扫红包”场景提供防刷服务,通过防水墙提供的防刷安全服务,东鹏特饮每年可节省...客户案例 案例一:A快消品牌 “瓶盖扫码”活动防刷 A快消品牌与某视频平台合作推出的瓶盖扫码抽奖视频VIP营销活动中,黑产通过收集大量瓶盖,利用短信代接平台和V**服务编写自动化扫码领奖软件,批量刷取某视频...结合人工智能进行用户画像、关系图谱分析,有效识别帐号质量、恶意IP和恶意设备。...防水墙推出了兼顾体验与安全的新型智能验证码,好人可免验证通过,普通用户使用滑动验证码简单一滑即可校验,针对高恶意请求可下发高难度的图中点选验证码。

    8.4K1291

    全球37%手机或因芯片漏洞遭攻击、黑客利用微软漏洞窃取登录凭据|全球网络安全热点

    最新的活动没有什么不同,因为它们采用应用程序的形式,声称在目标手机上安装更新,名称包括应用更新、系统应用更新和Android更新智能。据信,攻击者通过短信向目标发送下载链接来传送间谍软件应用程序。...安装后,该应用程序开始请求侵入性权限以执行一系列恶意活动,这些活动旨在绕过任何手动删除恶意软件的尝试。...感染始于包含以“.TXT.js”扩展名命名的恶意JavaScript附件的网络钓鱼电子邮件。由于Windows默认隐藏扩展名,如果收件人将文件保存到他们的计算机,它将显示为无害的文本文件。...在分析的155个样本中的10个,加载程序建立了C2通信以获取第二阶段恶意软件。...安全研究人员在一个著名的地下论坛上分析了僵尸网络学校的广告和活动,发现这些课程很受欢迎——这对于可能成为网络犯罪分子学习这些技能的目标的组织来说可能是一个潜在的问题。

    70630

    Nature系列 | 整合单细胞转录组学和质谱流式确定类风湿性关节炎滑膜组织中的炎症细胞状态 | 详细解读

    ,120种组合评估(转录组分析工具哪家强-导读版)) QC:(1)定义共同基因为在95%的样品有至少一条reads支持;(2)共同基因占比少于99%的样本定义为低质量样本在后续分析中将被剔除; 共获得167...最近发表多篇) (2)流式定义一部分RA滑膜组织中富含白细胞;组织免疫细胞浸润的变化反映了源关节中的局部疾病活动。...在B细胞内,鉴定了四个细胞簇,包括幼稚IGHD + CD27-和IGHG3 + CD27 +记忆B细胞,具有高表达ITGAX(也称为CD11c)的自身免疫相关B细胞(ABC)簇和具有高免疫球蛋白基因表达和...这些数据表明细胞因子激活驱动活动性RA滑膜中独特单核细胞群的扩增。...(8)通过单细胞分析揭示炎症途径和效应模块; 为了确定与富含白细胞的RA相关的途径,作者使用GO分析鉴定了I型干扰素反应和炎症反应(单核细胞和成纤维细胞),Fc受体信号传导(单核细胞),NF-κB信号传导

    5.3K54

    面对境外网络攻击,作为安全技术人员该如何有效防御?

    雨笋教育资讯:近日,美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台被我国安全厂商公开披露。...安全专家对量子攻击平台的主要攻击过程进行了相关分析 t019740c9e7aad2551d.png 1、监听 NSA把FoxAcid(酸狐狸)服务器部署在互联网骨干网中,建立监听节点,全面监控攻击目标的互联网账号等相关网络通信内容和其它网络活动...2、恶意样本下载拦截 在安全大数据能力加持下,云端动态鉴定识别木马病毒的行为、计算行为的特征,再结合木马病毒的特点,对通过下载软件、浏览器下载的文件进行安全检测,防止从网络应用下载恶意程序,对VALIDATOR...3、终端恶意行为检测 Quantum(量子)攻击系统在入侵目标终端后,会进行一系列精密复杂的网络渗透攻击,收集用户浏览器、邮件、办公和私人文档、数据库、摄像头实时数据等个人隐私数据,最终完成情报收集任务...依靠多维度高质量的威胁情报、多维度全景安全知识库,聚焦终端异常行为事件,以ATT&CK技战术视角实现归因分析和精确溯源,能够对Quantum(量子)攻击系统在目标终端的攻击指标进行全面侦测,通过持续监测终端异常活动行为

    94630

    关于机器学习在网络安全中的五大误解

    这类算法在十年前左右就提出了,那时候新的恶意软件数量每两年翻一番。 但是简单的自动化对病毒分析师来说是不够的,它需要一个质的飞跃。...在机器学习被应用的大多数领域中,目的不随时间变化,但是在恶意软件检出这个范畴内,事情在不断且快速地变化着。因为网络罪犯往往是高动机的人,为了钱、间谍活动、恐怖主义等。...因为通过客户端的恶意样本的平均数量要比反病毒实验室收集到的恶意样本数量小得多。客户端会因为没有收集到样本进行学习而丧失应对能力。...问题是大多数同家族的恶意软件都是由一个恶意程序修改而来的。例如 Trojan-Ransom.Win32.Shade 是一个拥有超过三万个恶意样本的家族。...另一个例子是有针对性的攻击,这些攻击的幕后黑手不打算制造越来越多的新样本,一个受害者就只用一个样本,此时你可以肯定这个样本不会被保护方案检出(除非这是一个转为此目的开发的平台,例如卡巴斯基的反针对攻击平台

    1.6K50

    搜索,大促场景下智能化演进之路

    作为淘宝平台的基石,搜索也一直在打造适合电商平台的人工智能体系,而每年11大促都是验证智能化进程的试金石。...伴随着一年又一年11的考验,搜索智能化体系逐渐打造成型,已经成为平台稳定健康发展的核动力。...演进概述 阿里搜索技术体系目前基本形成了offline、nearline、online三层体系,分工协作,保证电商平台既能适应日常平稳流量下稳定有效的个性化搜索及推荐,也能够满足电商平台对促销活动的技术支持...2014年11,通过BI团队针对往年11的数据分析,发现即将售罄的商品仍然获得了大量流量,剩余库存无法支撑短时间内的大用户量。...虽然有分布式大规模的机器学习平台,在某种程度上批处理方法对训练样本的数量还是有限制的。在线学习不需要缓存所有数据,以流式的处理方式可以处理任意数量的样本,做到数据的实时消费。

    6.5K40

    关于机器学习在网络安全中的五大误解

    这类算法在十年前左右就提出了,那时候新的恶意软件数量每两年翻一番。 但是简单的自动化对病毒分析师来说是不够的,它需要一个质的飞跃。...在机器学习被应用的大多数领域中,目的不随时间变化,但是在恶意软件检出这个范畴内,事情在不断且快速地变化着。因为网络罪犯往往是高动机的人,为了钱、间谍活动、恐怖主义等。...因为通过客户端的恶意样本的平均数量要比反病毒实验室收集到的恶意样本数量小得多。客户端会因为没有收集到样本进行学习而丧失应对能力。...问题是大多数同家族的恶意软件都是由一个恶意程序修改而来的。例如 Trojan-Ransom.Win32.Shade 是一个拥有超过三万个恶意样本的家族。...另一个例子是有针对性的攻击,这些攻击的幕后黑手不打算制造越来越多的新样本,一个受害者就只用一个样本,此时你可以肯定这个样本不会被保护方案检出(除非这是一个转为此目的开发的平台,例如卡巴斯基的反针对攻击平台

    1.6K20
    领券