声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/.../any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
卡巴斯基持续关注分析Roaming Mantis相关网络活动。该组织的攻击方法有所改进,不断在新的攻击目标上窃取资金。攻击者利用白名单和运行环境检测等技术避免被分析溯源。...再次说明犯罪分子在活动中总是利用热点话题。 白名单功能 Roaming Mantis在Wroba.g登陆页面(目前仅在朝鲜语页面)中采用了白名单功能,可逃避安全研究人员。...2019年,APK文件中使用Multidex隐藏恶意加载模块,分析表明它正在被一点一点地修改: ? 用红色正方形标记的类${num}.dex是恶意加载程序模块,所有其他的DEX文件都是垃圾代码。...目标分析 Wroba.g的目标是日本的运营商和在线银行,攻击者将受害者重定向到钓鱼网站,以窃取凭据: ?...当恶意软件在受感染设备上检测到日本在线银行或特定移动运营商时,它会在后台连接到pinterest.com的恶意帐户获取钓鱼网站。
并且该组织拥有多平台的攻击能力,载荷便捷,阶段繁多。...样本分析 进入主函数后读取资源“JUYFON”。 查看文件资源“JUYFON”应该为一段加密后的数据。...样本信息 Md5 28833e121bb77c8262996af1f2aeef55 此样本上传时间稍早,代码结构完成一致,粗略分析仅两处与上一个样本不同: 1.生产的迷惑文件文字不同: 2.c2服务器的域名及...,并且Kimsuky攻击活动中曾经使用过,同时结合样本的掩护文档的内容,可以确定被攻击者目标是韩国大学相关人士,完全符合以往Kimsuky的攻击意图,因此可以断定此样本的来源大概率是Kimsuky。...总结 通过分析可以看出最新的样本依然有多阶段方便攻击者重新组合攻击工具的特点,目前知道创宇NDR流量监测产品已经支持对次APT攻击活动的精准检测: IOC MD5: adc39a303e9f77185758587875097bb6
为了进一步震慑黑客组织与网络犯罪活动,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。其基本思路是: 同源分析: 利用恶意样本间的同源关系发现溯源痕迹,并根据它们出现的前后关系判定变体来源。...为了进一步防御网络犯罪活动和威慑黑客组织,目前学术界和产业界均展开了恶意代码溯源分析与研究工作。...上图是将溯源对象Windows平台的PE恶意文件或Android平台的APK恶意文件输入溯源系统,经过特征提取、特征预处理、相似性计算、同源分析获取溯源结果,最终判定攻击家族或作者。...Mirai僵尸网络就是一个很好的例子,攻击者主要利用物联网设备默认口令的问题,感染大量设备,之前沟通对其攻击模型的匹配,可以清楚的了解的组织的活动轨迹,并且通过对每一次活动留下的线索进行关联分析,最终定位到了攻击者团伙...2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
在本文中,我们将深入分析与该组织相关的两个攻击活动,并提供对应的技术细节。...攻击活动分析一 我们所要分析的第一个SideCopy攻击活动主要通过网络钓鱼链接进行传播,该链接将下载一个名为“Homosexuality – Indian Armed Forces.”的文档。...PDF时所使用的文件名称: 使用IDA结合GoReSym插件,我们可以从二进制文件中提取出函数元数据,并分析出恶意软件感染的第一阶段执行流程: 1、创建一个crontab通过系统重启后以当前用户名实现持久化感染...攻击活动分析二 在我们所观察到的第二个SideCopy攻击活动中,共享IP的不仅只有域名,而且还有C2基础设施。...除了这两个活动之外,研究人员也发现了该威胁组织同时针对Windows和Linux平台的恶意活动,相关的入侵威胁指标IoC请查看文末附录内容。
因此,来自以色列的网络安全以及恶意软件研究人员Ran Dubin和Ariel Koren博士开发并在Black Hat大会上发布了一款革命性的产品——以人工智能驱动的具有机器学习能力的恶意软件研究平台—...此外,SNDBOX还可以与各种第三方平台相互集成,能够参考其他来源的样本、调查信息,通过行为模式、向量、属性、标签等多个载体对恶意软件信息进行汇总。...除此之外,还会对各种签名和可疑活动进行检测,例如恶意软件是否适用Tor网络进行加密通信等。...SNDBOX数据库的搜索功能 每个记录在案的恶意软件样本都会上传SNDBOX平台,相关结果都可通过搜索结果公开访问。...除此之外,用户可以免费查看和下载任意已提交的恶意软件样本的PCAP文件(捕获的网络流量)以及样本本身的完整报告。所有用户都可以通过平台沟通交流,分享见解、资源、IOC等等。 ?
写在前面的话 xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。...具体分析请大家继续阅读下文。 TriFive和Snugy后门 在2020年9月份,我们发现xHunt攻击者入侵了科威特的一家机构组织。...我们在分析服务器日志时,发现了两个由攻击者创建的计划任务,这两个任务都会运行恶意的PowerShell脚本。...我们认为,攻击者选择这个任务名称主要是为了隐藏自己的攻击活动。...Snugy是CASHY200后门的一个变种版本,攻击者也曾在之前的xHunt活动中使用过这个后门。
0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https.../any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https
这些信息对于安全分析人员来说非常有用,因为它可以让我们看到系统上执行的所有程序,这意味着我们可以发现任何正在执行的恶意进程,以及感染目标系统的恶意程序是什么?...WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。...,例如Malware Bazaar、AnyRun、JoeSandbox和VirusTotal,这些平台都已经将其标记为了恶意代码: 从事件日志中还可以看到,恶意代码的完整路径为「C:\Users\CyberJunkie...恶意软件活动 文件创建 现在,我们从恶意进程(PID 10672)入手,通过日志分析,我们可以看到恶意软件在目标设备上创建了六个文件: PS > cat .\20240408132435_EvtxECmd_Output.json...,也有可能是为了误导分析人员而设置的。
我们今天看到的活动是关于一些Magento1网站的,而这些网站已经被一个非常活跃的skimmer组织所入侵了。...通过分析后我们发现,去年秋天被发现的Magecart Group 12就是Magento 1攻击事件背后的始作俑者,而这个组织现在仍在继续传播新的恶意软件。...Web Shell以favicon的形式隐藏 在对Magento 1网站使用网络爬虫进行分析时,我们检测到了一个伪装成favicon图标的新型恶意软件。...为了对这个Web Shell进行深入分析,我们将其进行了反向解码。我们看到,它会从一台域名为zolo[.]ow的外部主机获取数据。...在对m1_2021_force目录进行深入分析之后,我们发现了专门针对信用卡数据窃取的专用代码。
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...六、魔盾安全分析:https://www.maldun.com 魔盾安全分析 (MALDUN.COM) 提供了一个免费的基于虚拟执行的恶意软件及网页链接分析平台。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。
在恶意软件领域中,能够针对多个操作系统发起攻击的跨平台恶意软件是很多的。2020 年 9 月发现的 Vermilion Strike 就是最新的示例。...2021 年 12 月,网络安全公司 Intezer 发现了一个能够对 Windows、Mac 和 Linux 发起攻击的跨平台后门 SysJoker,其 Linux 版本和 Mac 版本的恶意软件在...在分析过程中,其 C&C 地址更改了 3 次,这表明攻击者仍然处于活动状态并且在监视受感染的机器。根据受害者和恶意软件的特定行为,SysJoker 应该是针对特定目标的恶意软件。...△ VirusTotal 检测结果 行为分析 在不同的操作系统上,SysJoker 的行为都是相似的。本文以针对 Windows 系统的恶意样本为例,进行相关分析。...根据恶意软件的功能,猜测攻击的目的是间谍活动以及横向移动。
利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。...概要 8月初,我们接收到了一类大量感染利比亚国内安卓手机用户的恶意软件样本,这些样本尤其在黎波里和班加西比较活跃,它们通过手机Telegram程序广泛传播,主要针对有影响力的社会名流和政治人士。...该类恶意软件感染手机之后,会继续向通讯录人员散播恶意程序Voice Massege.apk,形成更大的受害者网络。 经我们调查分析,确信这是由某政党发起,并以情报收集和秘密监视为目的恶意软件攻击活动。...在调查中,我们还发现了多例感染电脑和智能手机的相关恶意软件。我们把该攻击活动命名为“利比亚天蝎”。...笔记本电脑并安装有Skype,内网ip为192.168.1.16: 另外,还安装有PhpMyAdmin管理系统,我们试图对该登录界面进行暴力破解,但以失败告终: 攻击架构 利用PassiveTotal威胁情报分析平台
00 导语 构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。...黑灰域名标注数据来源于安全分析专家对可疑域名数据的人工鉴定。...通过对安全事件、威胁访问等数据进行规则挖掘,得到了大量潜在恶意的域名,安全专家通过对这些恶意域名进行溯源、分析,来判定这些域名是否为恶意域名,在MDDE-core的建模过程中,选取了这些人工鉴定的恶意域名作为黑...同时,通过对恶意域名的结构进行分析发现,一些属于同一二级域名的子域名往往从事一些相似的威胁活动,为了避免同类型域名数据的冗余导致模型过拟合,在黑域名标注数据的构建中,在同一二级域名上,随机抽取固定量的子域名作为黑域名...受益于腾讯海量安全数据的积累,恶意域名的溯源和分析有了充足的背景知识和数据集成平台,这为MDDE-core的构建提供了两个维度的准备,一是丰富的样本特征,如DNS、URL等数据,让威胁鉴定有了充足的上下文
,安全公司扫描引擎的主要作用就是样本的分类,但是不管是任何一家公司开发的引擎都会存在误报、漏报的问题,这样就需要一批人从事样本的快速鉴定与筛选工作,这类工作就是批量点样本,快速鉴定样本,每天一个样本鉴定人员可能需要人工处理上百个样本...上面的工作需要有一些快速鉴定样本的能力,说实在话,如果一直从事这样的工作,真的会很枯燥无味,像流水线上的机器人一样,每天重复做着差不多的劳动,也不需要知道太多的恶意样本分析知识,只需要知道一些简单的知识即可处理...,然后再深入的研究学习病毒知识,真正的成为一个恶意样本分析员,而不是简单的样本鉴定人员,其实任何一个行业都是如此,先简后难,真正要成为一个行业某个领域的专家,绝不是一两天的事情,需要持续不断的学习和研究...由于现在安全大环境,黑产团队会通过各种不同的恶意样本攻击各种不同平台的,但是现在做企业安全,目前来说主要是以Window/Linux平台为主,云安全服务器主机也主要以Windows/Linux为主,MAC...恶意样本分析是一项非常复杂的工作,需要学习的东西很多很多,涉及到的知识面也很广,后面可能还会遇到各种不同平台的文件需要分析,做恶意样本分析工作真的需要不断的学习,同时还需要跟各种恶意样本分析专家进行交流
恶意软件通常具有自动执行的特点,即无需用户手动启动,就可以进行各种恶意活动。根据行为特性和目的,恶意软件可分为多种类型,包括病毒、蠕虫、木马、间谍软件、勒索软件等。...这些软件可能会破坏计算机系统、窃取敏感信息、勒索财产或进行其他恶意活动。...比如以Kaspersky厂商的命名方式为例,其提供了一个具体的标签列表: 四.Usenix Sec20恶意软件标注工作 下面给出Usenix Sec20恶意软件标注工作的核心思想,主要以恶意软件在线分析平台...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。...(3)开展Ground-Truth数据集的验证分析 最终结论:针对VirusTotal恶意软件在线分析平台当前存在的问题,本文基于数据驱动的模型,指出采信结果时应去除频繁反转的部分,探索选取合适的阈值应用于标签动态整合最终测试结果
领取专属 10元无门槛券
手把手带您无忧上云