与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。...沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...这首先需要一种针对恶意行为的自动化检测技术。 沙箱 我们使用沙箱技术来应对恶意行为的自动化检测。 什么是沙箱?...,得出评估结论:恶意、可疑或是正常的;与此同时,面向专业分析人员提供得出此评估结论的详细分析依据。
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结 ?...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2 在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为word文档文件,有2个样本伪装为...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3 在这14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有...2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4 现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。
个样本是带有恶意宏的诱饵文档 2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2 在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为...14个Windows恶意样本中,其诱饵文档的题材,政治类的样本数量有9个,教育类的样本数量有1个,科研类的样本数量有1个,未知类的样本数量有3个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容...) 2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4 现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的...那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。...C&C报文的演进-pic120 四.总结 1.概述 Gcow安全团队追影小组针对双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解 双尾蝎本次活动样本流程图
线索 2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动的分析,描述了攻击过程的细节和一些工具及网络相关的IOC。...在左边的相关安全报告,也理所当然地提供了FireEye文章的原始链接,除此以外我们还发现了另外一个指向到著名沙箱Payload Security上的某个样本执行沙箱结果信息链接,相应的文件SHA256为...我们知道PayloadSecurity上存储了大量样本的沙箱行为日志数据,那么我们是不是可以在上面找找更多类似的样本呢?这个值得一试。怎么做呢?试试最简单的关键字匹配。...拓展 注意到上面那个已知样本连接C&C IP的进程名了吗?多年从事恶意代码分析的经验告诉我们,这个sigverif.exe进程在恶意代码的活动中并不常见。...启示 APT活动事件层面的分析本质上寻找关联点并利用关联点基于数据进行拓展的游戏,下面是360威胁情报中心整理的基于洛马Cyber Kill Chain模型关联点: ?
近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。...Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。...不同的地方在于沙箱将记录所有网络请求,进程调用,文件活动和注册表活动,如下图所示。 通过这种方式,你可以实时的查看任何的网络请求,正在创建的进程以及文件活动。...正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。 更多特性有待完善 尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。...虽然有许多忠实的用户请求Any.Run尽快开放这些服务,但Any.Run向我们表示只有服务处于稳定状态后他们才会被添加。在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。
沙箱分析—Cuckoo 测试的过程中需要限制样本的影响,研究人员在沙箱解决方案中运行恶意软件样本。沙箱工具通常提供内存转储分析功能,因此可以更好地了解内存中发生的情况。...黑客知道,如果他们的恶意软件样本在虚拟机或沙盒中运行,病毒样本会被轻易的执行、行为检测或者自动化的逆向分析出来,黑客会选择自我保护、伪装。其实黑客与安全研究人员的沙箱之间的攻防战争,从来没有结束过。...沙箱可以在本地部署,并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机),客户端数量取决于样本数量以及服务器性能。...可以通过web控制台访问,web控制台如下图所示: 在使用web控制台将文件提交到沙箱之后,样本会被执行,所有的活动都被记录下来,并包含在最终的报告中。研究人员可以通过web控制台访问报告。...Cuckoo沙箱有几种报告格式,包括普通格式、MAEC(恶意软件属性枚举和特征)格式。
这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 [系统安全...ATT&CK技战术 [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解 [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征 [系统安全] 四十八....恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解 [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解 [系统安全] 五十.恶意家族分类...2022年DataCon涉网分析之恶意样本IOC自动化提取详解
如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。 谷歌对这种攻击手段也有防御措施,如果尝试从Google云下载恶意软件,通常会看到以下消息: ?...但是,如果沙盒无法在互动过程中记录整个互动过程,在攻击活动结束后攻击者会从云中删除加密的恶意样本,会给安全人员追溯恶意软带来很大的难题。...技术分析 下载流程 以Legion Loader恶意软件为例,被分析的样本非常小,因此必须要去下载和执行恶意软件。流程如下: ?...攻击者非常了解沙箱,shellcode包含许多技术来检查其是否在沙箱中运行。样本检查了窗口的数量,如果小于12,则静默退出。 ? 动态地解析API函数地址: ?...恶意软件运行完毕不会留下任何痕迹,给分析人员带来很大的难题,他们需要面对一系列的反分析措施以及云端安全功能。
因此,业内均对APT组织画像归因开展了积极的探索工作,对APT组织建模,建立知识库,并结合知识库进行攻击仿真,以分析恶意行为特征,将恶意网络活动与特定组织或个人进行关联归因。...图1 基于攻击组织本体的上下文感知计算框架 首先需要定义以攻击组织为核心的本体结构,基于该本体结构设计上下文的采集模块和上下文推理模块,通过这些模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集...,一方面包括非实时的非结构化和半结构化的网页,公开性质的博客论坛,结构化(SITX)的开源威胁情报以及本地积累的攻击组织的威胁情报信息等;另一方面也包括结构化的网络威胁检测设备产生的告警日志和实时动态沙箱的恶意软件分析报告...图3 攻击团伙活动监控界面 2020年10月至2021年9月期间,绿盟科技共监测并研判有效的APT组织的活跃线索有57个,平均每个月活跃组织约19个。...图4 APT组织活跃态势 03 总结 虽然在诸多威胁感知场景下,基于统计机器学习的智能分析方法取得了重要的突破,但在面对动态复杂的网络行为分析时,感知层输入往往缺乏有安全语义的规范化建模,数据层恶意攻击的误报情况
虽然恶意样本和良性样本之间的LotL二进制使用频率(prevalence)有一些明显的差异,但我们也注意到一些类别存在某些相似性,如代理执行(proxied execution)。...值得注意的是,一些APT组有多个活动和样本,如APT28和Keyboy。 这表明APT组织在多个活动中使用了LotL技术。...---- 六.案例分析 在本节中,我们将调查并描述来自数据集中的两个勒索软件(ransomware)家族: (1) Gandcrab 我们在本地沙箱环境中执行了Gandcrab勒索软件样本,并记录了所执行的命令...此外,我们的研究表明,良性样本和恶意样本之间的执行目的存在差异,为检测算法的发展提供了一个方向。事实上,最近的论文[71, 21]探索了这条有前途的研究路线,以克服现有安全产品的局限性。...由于数据来自于云中托管的动态分析沙箱,恶意软件使用的反虚拟机规避技术可能会影响数据质量。我们通过排除在沙箱中执行最少或执行过程中崩溃的恶意软件样本来减轻这种情况。
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...2、https://capesandbox.com/analysis/ 这个平台有各种类型的外挂样本,因为样本更新率很高,样本量也非常多,可以通过关注下载最新的一些恶意样本进行最新攻防方法分析和挖掘最新威胁情报...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
我们对这些攻击中使用的恶意软件分析显示,该样本与Ke3chang的BS2005后门以及2016年发现的针对印度大使馆的恶意软件有密切联系。...Ke3chang在2015年的活动情况——Kertican后门 所有分析的Ketrican 2015后门样本都支持Ke3chang中使用的基本命令集,例如下载和上载文件,执行程序和shell命令,以及在配置时间内休眠...反调试反沙盒技术 样本之间共同点还有用于检测模拟环境或沙箱的启发式算法。GetTickCount函数在循环之前和之后调用并迭代999,999,990次。...该报告是关于对TidePool恶意软件家族的研究,其中包括我们分析的两个样本。 Palo Alto 的研究人员称,TidePool恶意软件家族是BS2005恶意软件的变种,这也符合我们的研究结果。...例如将恶意有效载荷嵌入PNG图像中,采用多种反仿真和反沙箱技巧,以及实施中代码实现的频繁更改。从Ketrican样本中可以看到从2015年到2019年的演变和代码改进。
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...沙箱运用 cuckoosandbox 里有一段代码,沙箱会预先设置值用于监控错误的发生,这里就用到了 SetErrorMode 并且其中的参数有 SEM_NOALIGNMENTFAULTEX。...(ps:得要参与沙箱开发的才知道沙箱机制会使用这一段代码了) 如第一张图所示,恶意代码进行了 2 次的 SetErrorMode 函数,紧接着就是 cmp 对比。伪 C 代码示意: ?...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作
假设我们模型的效果非常差,它会将所有本测试样本标记为恶意样本,这样我有两个数据集,一个样本包括100个数据(99个恶意样本、1个非恶意样本),另一个样本包括50个数据(50个恶意样本、50个非恶意样本)...根据步骤中对训练样本进行预处理的方式,可以将检测分为静态分析与动态分析: 静态分析不运行待检测代码,而是通过直接对程序(如反汇编后的代码)进行统计分析得到数据特征 动态分析则在虚拟机或沙箱中执行程序,获取程序执行过程中所产生的数据...(2) 动态分析 利用虚拟机或沙箱执行待测程序,监控并收集程序运行时显现的行为特征,并根据这些较为高级的特征数据实现恶意代码的分类。...[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理 [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析(下)...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 参考文献
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
威胁情报和分析 威胁情报是网络安全的前沿防线。通过获取来自不同来源的威胁情报,如黑客论坛、恶意软件样本和漏洞报告,安全团队可以了解最新的攻击趋势和攻击者的行为模式。...结合机器学习和人工智能技术,进行情报分析,识别出潜在的威胁,以便迅速采取防御措施。 2. 恶意软件检测与分析 恶意软件是常见的网络威胁,它可以通过各种方式传播并危害系统。...及时检测和分析恶意软件是网络安全的核心任务。 技术实践: 使用行为分析、沙箱和静态分析等技术,对文件和应用程序进行检测。...通过对样本进行逆向工程分析,可以深入了解恶意软件的功能和攻击手法,从而更好地进行防御。 3....技术实践: 部署网络中的IDS/IPS传感器,监控流量和活动。结合规则和行为分析,及时识别可疑活动并采取自动化的响应措施,如阻止流量或报警。 4.
Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写
Check Point发现了针对蒙古公共部门的网络攻击活动,该组织利用了冠状病毒恐慌情绪向目标发送恶意软件。研究发现其与可与在2016年进行的其他网络活动联系起来。...在本报告中将对整个活动中使用的TTP,基础设施以及发现的新工具进行全面分析。 诱饵文件 确定了发送给蒙古公共部门的两份可疑文件, 这些文件用蒙古文写成,其中之一来自蒙古外交部: ? ?...该技术手段可以进行持久控制,还可以防止其在沙箱中运行时被分析,因为要完全执行该恶意软件,必须重新启动Word。...能够解密的十二个文件可以分为四个主要的恶意软件家族。...将其与2017年的BYEBY样本进行关联分析: 字符串相似性: ? 功能相似性: ?
领取专属 10元无门槛券
手把手带您无忧上云