最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛)。本文介绍如何使用它来检测webshell。 一 、安装ssdeep 下载ssdeep并安装 http://ssdeep.sourceforge.net/ tar zxvf ssdeep-2.12.tar.gz cd ss
最近一段时间的任务就是研究webshell的检测,感觉安全真是没有止境,尤其还是处于防御方,安全策略的制定 任重而道远。
Factual-rules-generator是一款功能强大的开源工具,该工具旨在帮助广大研究人员在目标操作系统平台中生成关于已安装软件的YARA规则。
COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。
随着信息技术的快速发展和互联网的普及,数据在现代社会中变得越来越重要。然而,数据泄漏已经成为一个严重的问题,近几年就发生了几次数据泄露的大事件:
ModSecurity是一个开源的跨平台Web应用程序防火墙(WAF)引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。作为WAF产品,ModSecurity专门关注HTTP流量,当发出HTTP请求时,ModSecurity检查请求的所有部分,如果请求是恶意的,它会被阻止和记录。
病毒名称:骷髅病毒 文件名称: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 文件格式: EXEx86 文件类型(Magic): PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed 文件大小: 66.50KB SHA256: d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827 SHA1: c660516ceb64fb9373b297973f962398ee6d1879 MD5: 77031bafa4c641c28ab9f624a15766b0 CRC32: 79C2B4D8 SSDEEP: 768:CGBwjSgvnyXXQkZuzQEN8Fs+U5MV4nb42sWAw/CQd07d21a1XWCIqrY+9GbRa:PBzgvnyXgkwg0sl5Qd07k1sXvr TLSH: T1D0635C1BAD45D0A1E00600389519FAFF66A76C71C51EAA53FB80FD827CB8587F8B9D07 AuthentiHash: 4A58C42F188D69E5EC03A22F02C0C9AB8D6B8D0B39C01DD7CA05DD97074509A2 peHashNG: 15fe9808e4c7996169d2f7d72ab94995e16510faac3b23d090f9c6ccbcceaa0f RichHash: c5755a1d31fa664aef391971dfc1145d impfuzzy: 24:MEpZQCB8u1wX1siuLVuLQjuyPq0jcfLGDQj1E5T0v+GO9CJI/qkbJnBevrzvoLWZ:prwX1Euljix02G+CJI/q0JBevrzri+ ImpHash: ccbcdba127c40ad07597791950e62759 ICON SHA256: ffac9d7025d1e7d091fc5449da7401928cff13c3083719ca38b4518042608ef9 ICON DHash: 336171172d330c0d Tags: exe,section_name_exception,lang_chinese
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠
文件名称: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb 文件类型(Magic): PE32 executable (GUI) Intel 80386, for MS Windows 文件大小: 52.50KB SHA256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb SHA1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8 MD5: 304bbe0e401d84edf63b68588335ceb6 CRC32: 757BDFA1 SSDEEP: 768:QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU ImpHash: bdd8c968182d3c29007cb3a7a7e8fe4c
文件名称 9dfd124ca235aa3d8434afbb0167581ff2f35ad0ab142ee5bdff0ff29b64d542 文件类型(Magic) PE32 executable (GUI) Intel 80386, for MS Windows 文件大小 271.00KB SHA256 9dfd124ca235aa3d8434afbb0167581ff2f35ad0ab142ee5bdff0ff29b64d542 SHA1 65daf6d722b71ff56ef0f01b4aa734e898ad45ae MD5 b86bae39ddf878d71b0e66e4c5c261cf CRC32 F4C3B4C7 SSDEEP 6144:NFsvQdbzv31yLFytJNTBq2O6mFeTeM/onN6b:NFskvkRyXNTs22JMAnN6b ImpHash df2445056bd741fc6eaccc3bc5cb3437 Tags PE32,pdb_path,resource_embedded_pe,lang_chinese,encrypt_algorithm
今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。github地址为:
过去的两个月中,研究人员发现了窃密恶意软件 Poulight Stealer 的技术进化与传播扩散,经过研究发现其可能源于俄罗斯。
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
冰封三尺非一日之寒,本篇先交付恶意软件前置知识的文件类型与指纹识别,来帮助大家打基础。
使用 Go 编写的多平台 GoBrut 僵尸网络最近部署了新变种进行传播,同时正对数以百万计的 WordPress 网站进行爆破。
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
在合法网站植入暗链推广非法商品/服务(如毒品、色情、赌博等)是很常见的,黑帽 SEO 是其中一个主要的途径。搜索引擎为此付出了巨大的努力,Google 每年针对黑帽 SEO 会更新排名算法超过 500 次。
Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。主体使用python开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件,沙箱系统即可自动分析,并在分析完毕后提供一个详细的报告,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件.
宝塔虽然有apache和nginx的防火墙。但都是收费的。(其实就是在开源的waf基础上魔改的,收费就太恶心了。)
近期,我们注意到了全球范围内国家层次的网络攻击活动频率有着大幅度增加。其中,APT34、Gamaredon和Transparent Tribe是我们在最新的几个攻击活动中发现的样本。而在这篇文章中,我们将深入分析近期一个活动比较频繁的朝鲜APT组织,该组织名为Kimsuky,我们将对其所使用的攻击技术以及样本进行深入分析。
1.FACT 全称 Firmware Analysis and Comparison Tool 是一个拥有WEB端的自动化固件测试平台。
Ursnif 是十分活跃的威胁之一,通常针对意大利和欧洲多个行业发起垃圾邮件攻击。
在众多渗透测试中客户想要了解攻击溯源查找问题,我们Sine安全在日常网站安全检测过程中了解知道黑客是如何攻击和上传木马并进行篡改,以及如何查找日志分析攻击者是通过哪些脚本入口文件进行入侵的,那么本节由我们资深的渗透测试主管技术来为大家讲解。
Docker镜像简介 这篇文章算抛砖引玉,给大家提供一些简单的思路。 首先要做Docker镜像扫描,我们必须要懂Docker镜像是怎么回事。 📷 Docker镜像是由文件系统叠加而成。最底层是bootfs,之上的部分为rootfs。 bootfs是docker镜像最底层的引导文件系统,包含bootloader和操作系统内核。 rootfs通常包含一个操作系统运行所需的文件系统。这一层作为基础镜像。 在基础镜像之上,会加入各种镜像,如emacs、apache等。 如何分析镜像 对镜像进行分析,无外乎静态分析和
现在我们发现全部都是禁用的,这样需要我们手动启动一个,比如现在我们需要使用最新版本PHP7.1的。那么我们就可以执行以下命令:
这是在github上找到的做恶意软件分析的资料,已经非常全面了,希望对做恶意软件检测的同学有帮助。
领取专属 10元无门槛券
手把手带您无忧上云