对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。想要获取各种类型恶意样本的搜索时间成本相对会比较高。
样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。
溯源分析就是在通过现象去发掘恶意攻击者背后的故事,没有固定的套路可循,在分析过程中,要像侦探破案一样,大胆心细,不放过任何细枝末节,是一场人与人之间斗智斗勇的过程。
做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
近日,在平时的威胁情报收集中,发现了一起韩国APT组织KimSuky的攻击事件,对整个事件进行完整分析之后,觉得自己对样本分析和流量分析的认识又上了一层楼,在这里分享给大家,希望可以一起学习进步。
响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
2016年中国网络空间安全年报 4.3 C&C服务器分布情况分析 C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。 本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。 4.3.1 大多C&C服务器活跃时间较短 根据安恒对截止到
这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚。
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
“看见”的能力始终伴随着“不看见”的能力,正如“太极”的两部分。什么是看见?看见一片大海、一片星空、一片沙漠,是看见吗?正是由于有选择的不看见的能力,忽略过滤排除筛选,去除大量无效信息,才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。
Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。主体使用python开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件,沙箱系统即可自动分析,并在分析完毕后提供一个详细的报告,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件.
2016年中国网络空间安全年报 4. 网络空间中的APT威胁分析 美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat Report),在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,在几乎世界上的每个角落都发现过恶意软件的服务器,并且攻击行为愈演愈烈。 下文从安恒APT云端的海量攻击样本中,对APT的攻击特点与事件进行分析,其中木马程序成为了APT攻击常用工具,黑客通常采用恶意木马进行终端信息搜集与回联控制,为了深入说明APT
根据上级开展挖矿专项整治工作,针对当地网吧、酒店等地区开展挖矿排查,此事件便是挖矿专项整治工作中的一例典型。
PS:以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次条件极为有限的排查。 0x01 确认到手情报 首先来看一下,同事手上有啥情报。
传统网站安全检测方式 当前的网站安全检查都是通过静态扫描的方式,来检测网站存在的漏洞和后门等安全问题,以是否存在漏洞来判断网站是否“安全”,这种检测方式通常都是依靠漏洞的“特征”,但是,黑客攻击的方式
一、 漏洞简介 CVE-2017-0199漏洞是一个Office远程执行代码漏洞,该漏洞利用Office OLE对象链接技术,将伪装的恶意链接对象嵌在文档中,由Office调用URL Moniker(COM对象)将恶意链接指向的HTA文件下载到本地,通过识别响应头中content-type的字段信息调用mshta.exe执行下载的HTA文件。 受该漏洞影响的Microsoft Office版本包括:Microsoft Office 2016、Microsoft Office 2013、Microsoft O
在经历过期末学习怠倦期后,我战战兢兢地打开了(自己搭的蜜罐抓不到样本(╥ω╥`) )
背景 2018年1月31日,韩国计算机应急响应小组发布了一则关于Adobe Flash Player的 0day 漏洞警告,并称早在2017年11月中旬,就有黑客利用该漏洞实施有针对性的攻击。 2018年2月1日, Adobe官方发布了Adobe Flash Player系列产品的安全通告(APSA18-01),一个最新的AdobeFlash零日漏洞被发现针对韩国地区的人员发起攻击,该0day漏洞编号为CVE-2018-4878。 2018年2月5日,Adobe官方发布漏洞补丁,修复CVE-2018-487
VirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。
通过邮件投递病毒文件是网络攻击常用的一种方式,因此防御邮件攻击是每个安全团队都需要重点考虑的内容。中兴通讯每天都会收到数万封外部邮件,为了及时检测每封邮件是否含有恶意文件,中兴ZInsight团队部署了自研的高级邮件防御系统,针对每个邮件附件,通过动态行为分析的方式检测是否存在威胁。本文介绍近期捕获的一起攻击事件,分析其攻击过程。
1. 事件 WannaCry勒索病毒余波未平,如今又出现了更变本加厉的EternalRocks(“永恒之石”)新病毒。永恒之石来势汹汹,利用了之前泄露的NSA武器库中的7个漏洞进行传播,包括SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSAR、ARCHITOUCH和SMBTOUCH)。 永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。感染用户电脑后
近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。
各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 万维网联盟拒绝谷歌和Mozilla对分散标识符(DID)提案的反对意见 2. 欧盟举办超大规模网络安全演习:医疗基础设施遭全链条打击 3. Jenkins 安全团队披露了 29 个受 0Day 漏洞影响的插件 4. NPM 供应链攻击影响数百个网站和应用程序 5. PCI DSS 4.0发布以应对新兴威胁和技术 6. OpenSea
今天为大家介绍在kali linux 2020系统中cuckoo软件及沙箱的安装、配置和使用方法。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
对企业安全建设来说,人是最大的安全威胁因素,系统再牢固、资产再收缩,也架不住内部员工被社工、被骗后轻而易举的进行破坏。
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。
自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预警平台(以下简称APT设备),在为客户提供免费技术支持的基础上还提供了专家现场支持,帮助用户分析病毒感染情况。 在近几天的支持过程中,安恒信息通过APT设备不但捕获到了勒索病毒大面积扩散的证据,还及时捕获到了勒索病毒变种后的样本和扩散源。以下是安恒信息技术专家在客户现场进行技术支持中捕获到的几起典型案例样本,以及样本进行及时处置的说明。 客户案例一
根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里
前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运,我们团队近年来获得过第1、2、4、6、7、8名,不过也存在很多遗憾,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!
今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。github地址为:
该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。
之前看待事物总是看其一角,做技术也是囿于一面,思维不是很开阔,经过不断地看书,思考,认知慢慢有了 改变,获益良多。
已经有不少朋友从后台咨询我怎么学习恶意样本分析?有做渗透测试的,有做大数据分析的,还有做应急响应、安全服务的,一直想给大家写一篇关于如何学习入门恶意样本分析以及在当前企业安全的环境下,做恶意样本分析到底有什么作用?因为只有知道它有用,你才会花时间去学习。
由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司,面临入侵的威胁也越大,即便是Yahoo这样的互联网鼻祖,在落幕(被收购)时仍遭遇全量数据失窃的事情。安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。
上月底,权威科学杂志Nature发表了一篇关于谷歌人工智能程序AlphaGo击败欧洲围棋冠军的文章,其中介绍了AlphaGo程序的细节,它实际上是一个结合了深度学习与树搜索(tree-search)的程序。虽然,对弈发生于去年十月,但还是在网络及朋友圈引起不小轰动:人类智力最后的骄傲崩塌了吗? 在对问题进行肯定或否定的回答前,我们先来了简单了解一下这些概念。 FreeBuf百科:什么是人工智能、机器学习和深度学习 图片来源:《从机器学习谈起》 人工智能 AI 作为计算机学科的一个分支,按字面理解,
近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像GandCrab的黑产团伙出现,因为只要有利益的地方,就会有黑产。
反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在侵权或不足之处,还望告知,加油!
为什么在一些安全场景下使用半监督学习呢?大多数安全场景对应的安全数据都比较少,包括黑样本和白样本,样本数据的缺失直接限制了机器学习技术的应用,这是目前机器学习应用于安全实践中的难题之一。是解决问题还是规避问题呢?这个可以从有监督/无监督/半监督学习的角度来由果推因。如果想采用有监督学习的方法,那么需要大量攻击样本的和正常业务样本的积累,而现实的情况大多数可能是仅有少量攻击样本的积累,这就需要去解决样本数据的问题。
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
喧嚣而抢眼的2016美国总统大选终于落下帷幕了,川普成为美国第45届总统,也算是爆冷吧。毕竟在投票前,预测都是希拉里赢的,广大吃瓜群众也都是押她的。然而随着选区一个个开票,川普居然用农村包围城市的朴实作风稳扎稳打的取得了胜利。 可惜希拉里,一生总统梦,说破碎就破碎了。 是什么导致了剧情的逆转? 一个“邮件门”毁了希拉里的总统梦。 美国大选在即,希拉里却爆出“邮件门”! 而这里面最狠的,是那3万封被删掉的邮件,居然被黑客找了回来!还特意挑选希拉里生日当天曝光! 希拉里不仅用私人邮件办公,而且和华尔街有大额经
当我们说起APT攻击线索的发现,似乎是一个挺神秘的事,安全厂商往往说得云山雾罩,如果现在你问如何知道某件事情的时侯,得到的回答往往是:”嗯,我们用了机器学习”,行业外的人除了觉得高端以外基本得不到有用的信息。然而,发现高级的定向攻击是否一定需要高级的分析手段?答案是:未必。今天我们就举一个简单的例子,分析对象还是我们的老朋友:海莲花APT团伙。 线索 2017年5月14日FireEye公司发了一个揭露APT32(海莲花)团伙新近活动的分析,描述了攻击过程的细节和一些工具及网络相关的IOC。 这些信息当然已经
原作者 MalwareTech 编译 CDA 编译团队 本文为 CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 个国家。包括中国、俄罗斯、英国、美国在内的众多国家,都被该病毒搅得鸡犬不宁。 除英国国家医疗服务体系(NHS)、美国联邦快递、西班牙电信公司外,俄罗斯内政部的1000 多台电脑也纷纷“中招”,受到严重影响。而据俄罗斯RT新闻网报道,最新的数据统计显示,全球范围内已有超过 10 万台电脑被攻击。 但就在这场损伤巨大的全球“浩劫”中,一位“意外的英雄
最近研究Legion Loader恶意软件时,研究人员偶然发现了一个下载装置,从云服务下载执行恶意有效负载。在寻找其他类似的样本发现:8,000个URL,10,000个样本,Nanocore,Lokibot,Remcos,Pony Stealer等。可以看出云服务是整个黑客产业的新方向,可取代打包程序和加密程序。如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
