七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...八、腾讯哈勃分析系统:https://habo.qq.com 哈勃分析系统,是腾讯反病毒实验室自主研发的安全辅助平台。...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...九、奇安信威胁情报中心:https://ti.qianxin.com 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 十、大圣云沙箱检测系统:https://mac-cloud.riskivy.com...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
恶意文件分析在应急响应中也是十分重要的一环,up把恶意文件分析分为两个大类来讲。...一、常见病毒木马样本分析 这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚...外附——上传了黑客工具 其他类型的木马可能有修改注册表或者上传了恶意工具的,我放在这里讲,红队嘛,或者黑客,只拿下了某台服务器一定不是最终目的黑客上传的工具也是恶意文件分析的一环,因为从他上传的工具以及跑工具的结果就能推测出目前的一个形式...(不是打广告和推荐工具),一键扒拉就很方便看了,当然,这里也推荐用一下云沙箱来先做一下,毕竟有虚拟机逃逸的风险,市面上的云沙箱动态分析还是到位的,主要看看针对注册表的修改和对文件的改写、权限的更改等等,...总结 威胁情报+云沙箱+手工分析 —> 得出结论
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。...3、腾讯哈勃分析系统: https://habo.qq.com 这个平台也是个很成熟的恶意样本自动化分析平台,同时上传样本的量也还可以。
0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.com
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co
沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...沙箱云监测漏洞利用样本 除了恶意软件家族之外,我们通过沙箱云还在持续监测互联网中的 N-day 漏洞利用的活跃情况。这些 N-day 漏洞覆盖了操作系统和流行应用软件。...面临使用新型利用、绕过和攻防技术的恶意程序层出不穷的严峻现状,沙箱云借助机器学习技术,应对各种新型恶意程序和攻击,实现针对新型攻击的检测发现。...我的博客即将同步至腾讯云开发者社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?
恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。 网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。...恶意样本溯源思路 对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。...在对恶意样本分析过程中通常需要关注:恶意样本中是谁发动攻击、攻击的 目的是什么、恶意样本的作者是谁、采用了哪些攻击技术、攻击的实现流程是怎样的。...作者溯源:恶意样本的作者溯源就是通过分析和提取恶意样本中的相关特征,定位出恶意样本作者相关特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织。...在分析恶意样本的时候可以参考借鉴下面的几个在线沙箱 微步云沙箱:https://s.threatbook.cn/ 奇安信云沙箱: https://sandbox.ti.qianxin.com/sandbox
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱...通过微步云沙箱,可以直观的看到样本执行流程 ? 再看看沙箱中详细的进程列表 ? 其进程行为与本地虚拟机基本一致,但其比本地虚拟机多了网络行为 ?...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。
哈勃沙箱技术总览 第一节 哈勃linux沙箱 今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。...静态检测的本质是特征码匹配,对已知的恶意文件进行快速匹配进而查杀,如果能在静态检测层面发现恶意代码,就不需要动态分析了,这样速度就会快很多。 ?...5. yara模糊过滤 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息。...内存分析 对于内存,沙箱基本上都是基于volatility来做的,哈勃也不例外。哈勃主要分析了两部分内存: 1.bash 调用历史 ? 2.父子进程的关系 ?...2.没有策略 沙箱的检测策略是没有开源的,这是很宝贵的东西。我们虽然可以获取大量的信息,但是哪些是恶意的,我们没办法判别。当然这就是我们策略该做的事情了,只要有样本,策略还是可以做的。
使用命令ls -la /usr/.work/发现启动目录下的另一个可疑程序/usr/.work/work64,微步沙箱work64分析报告[2] 确认该程序是恶意程序,后续需要备份后删除。...使用命令ls -l /proc/669/exe /proc/669/cwd发现恶意进程669的启动程序/tmp/xmr,微步沙箱xmr分析报告[3]确认该启动程序是恶意程序,后续需要备份后删除。...但微步沙箱wget1分析报告[4]未发现异常,对系统无影响,需询问系统管理员或进行逆向分析判断是否保留。...但微步沙箱curl1分析报告[5]未发现异常,对系统无影响,需询问系统管理员或进行逆向分析判断是否保留。 /tmp/secure.sh:文件落地时间与恶意程序落地时间一致可能是攻击者上传的。...03、2024-01-22 11:50:33至39 5秒钟后,攻击者上传的恶意程序均被腾讯云镜主机安全检测到并告警,不知是这个样本太菜,还是腾讯云镜太强,反正上次记一个真实的应急响应案例(2)挖矿病毒事件的阿里云盾用了
该样本是云沙箱漏报的样本,需要人工分析漏报的原因,以及具体的行为分析。...反沙箱技术 该样本在运行初期,会调用 2 次 SetErrorMode 函数,通常我们分析病毒的时候,都是直接就跳过了,并没有往里面深入多想。但这却能成为反沙箱的技术手段。 ?...(ps:得要参与沙箱开发的才知道沙箱机制会使用这一段代码了) 如第一张图所示,恶意代码进行了 2 次的 SetErrorMode 函数,紧接着就是 cmp 对比。伪 C 代码示意: ?...病毒分析 往下的病毒分析主要就是写分析流程了,当时外网发布的那篇分析文章就十分之详细 样本是个伪装成 PDF 文件的 .exe 程序,拖入 IDA 静态分析在函数列表找到 wWinMain 入口函数 先做了恶意代码运行前的前期铺垫工作...恶意程序创建了多线程,加快遍历加密文件的速度 ? 样本使用了 I/O 端口模型进行线程间通信以及 salsa20 加密算法对系统文件进行加密 ? ? 使用自绘函数代码,修改用户桌面背景 ?
最近研究Legion Loader恶意软件时,研究人员偶然发现了一个下载装置,从云服务下载执行恶意有效负载。...可以看出云服务是整个黑客产业的新方向,可取代打包程序和加密程序。如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。...技术分析 下载流程 以Legion Loader恶意软件为例,被分析的样本非常小,因此必须要去下载和执行恶意软件。流程如下: ?...攻击者非常了解沙箱,shellcode包含许多技术来检查其是否在沙箱中运行。样本检查了窗口的数量,如果小于12,则静默退出。 ? 动态地解析API函数地址: ?...总结 服务器维护的重担已经转移到云供应商身上,面对云端威胁,许多安全解决方案是不够的。恶意软件运行完毕不会留下任何痕迹,给分析人员带来很大的难题,他们需要面对一系列的反分析措施以及云端安全功能。
云镜平均每天检出黑客入侵事件800余起,累计捕获恶意新样本25万条,守护腾讯云上80%用户主机安全。...腾讯云已经推出态势感知能够对客户云端安全数据和腾讯安全大数据进行多维、智能的持续分析,包括7*24小时的全方位感知网络安全态势,拥有六大亮点,分别是核心风险感知、多维检测能力、炫丽可视界面、安全风险评级...腾讯云提供的营销风控解决方案,能在200毫秒内实时准确的判定出请求的风险级别,可以为企业节约数千万的营销资金,并能避免恶意数据对后续营销效果分析的干扰。 内容风控 第七个领域是内容风控。...目前腾讯云内容风控提供消息过滤服务,可准确识别这些场景的恶意文字和图片内容,包括违法违规、垃圾广告、恶意营销等,帮助客户有效提高产品体验,保护业务健康发展。...另外,腾讯云还推出了国内唯一的 SDK/Webview 小程序安全沙箱**,能够有效对第三方SDK、小程序进行安全管控,防止自内而外的恶意攻击行为。
恶意荷载分析 最终执行的恶意荷载会分为两个阶段的程序,第一个阶段是Dropper荷载释放程序,第二个阶段是利用网络云盘进行C&C控制的后门程序。...该后门程序使用公共云盘进行数据中转,程序中内置了4种云盘,分别是box,dropbox,pcloud, yandex,此次截获的样本使用的为pcloud网盘。 ?...在1月31日攻击正式对外曝光后,仍然有大量新的中招者向该云盘上传信息,在获取到的截屏信息中,我们发现了大量的病毒检测沙箱和样本分析人员。...在截图排查中,我们还意外发现了疑似国内安全从业者的电脑桌面截屏,可能是其在下载分析样本时不慎中招。 ?...总结 通过分析我们可以发现此次攻击是通过精心策划的,攻击周期长达三个月以上,攻击者通过入侵两个正规公司网站放置恶意荷载,使用正常的云盘服务作为C&C基础设施,不计成本利用零日漏洞,开发精巧的攻击方案。
作者:SungLin@知道创宇404实验室 时间:2019年7月30日 一.恶意邮件样本的信息与背景 在六月份的某单位HW行动中,知道创宇HW安全团队通过创宇云图APT威胁感知系统并结合腾讯御点终端安全管理系统成功处置了一起...文档打开后,会诱导用户需要开启宏才能查看被模糊的图片,一旦用户点击开启宏,恶意样本将会在用户电脑上运行、潜伏、收集相应的信息、等待攻击者的进一步指令。 ? 该APT样本整体运行流程图如下 ?...该宏代码作为实施攻击的入口,实现了恶意样本的下载和执行。本章也将分析下载和执行的整体流程。 解压该Office文档后,宏代码被封装在xl文件夹下的vbaProject.bin文件中。 ? ?...文件检测采用全面沙箱分析,通过在沙箱(Sandbox)中运行(行为激活/内容“引爆”)各种文件,分析文件行为,识别出未知威胁。...腾讯御点是腾讯出品、领先国际的企业级安全服务提供者。依托腾讯19年的安全经验积累,为企业级用户提供私有云防病毒和漏洞修复解决方案。
7月份对同一样本的补充截图如下: 在本次APT攻击中,攻击者通过发送鱼叉式钓鱼邮件,配合社会工程学手段诱导用户运行宏代码,进而下载尾部带有恶意payload压缩包的可执行文件。...文档打开后,会诱导用户需要开启宏才能查看被模糊的图片,一旦用户点击开启宏,恶意样本将会在用户电脑上运行、潜伏、收集相应的信息、等待攻击者的进一步指令。...该宏代码作为实施攻击的入口,实现了恶意样本的下载和执行。本章也将分析下载和执行的整体流程。 解压该Office文档后,宏代码被封装在xl文件夹下的vbaProject.bin文件中。...文件检测采用全面沙箱分析,通过在沙箱(Sandbox)中运行(行为激活/内容“引爆”)各种文件,分析文件行为,识别出未知威胁。...腾讯御点是腾讯出品、领先国际的企业级安全服务提供者。依托腾讯19年的安全经验积累,为企业级用户提供私有云防病毒和漏洞修复解决方案。
云镜平均每天检出黑客入侵事件800余起,累计捕获恶意新样本25万条,守护腾讯云上80%用户主机安全。...腾讯云已经推出态势感知能够对客户云端安全数据和腾讯安全大数据进行多维、智能的持续分析,包括7*24小时的全方位感知网络安全态势,拥有六大亮点,分别是核心风险感知、多维检测能力、炫丽可视界面、安全风险评级...腾讯云提供的营销风控解决方案,能在200毫秒内实时准确的判定出请求的风险级别,可以为企业节约数千万的营销资金,并能避免恶意数据对后续营销效果分析的干扰。 07 内容风控 第七个领域是内容风控。...目前腾讯云内容风控提供消息过滤服务,可准确识别这些场景的恶意文字和图片内容,包括违法违规、垃圾广告、恶意营销等,帮助客户有效提高产品体验,保护业务健康发展。...另外,腾讯云还推出了国内唯一的 SDK/Webview 小程序安全沙箱,能够有效对第三方SDK、小程序进行安全管控,防止自内而外的恶意攻击行为。
通报清单上已给出矿池IP为:18.1.1.1(新加坡 新加坡 |亚马逊云主机);恶意连接地址:114.1.1.1(中国 浙江省 杭州市|阿里云)。...从威胁情报得知此IP地址相关域名“*.ravenxxxxx.com”均为Ravencoin矿池地址,其中通信样本也为挖矿程序样本。...RTssxxxxxx.RVN --temperature-limit 85 -i 90 -RUN -reboot-times 0 与网上渡鸦币挖矿程序命令一致: 经过测试,当我打开任务管理器查看、火绒剑分析等操作...并且该程序设置了隐藏,直接通过文件管理器找不到相关程序,这种隐藏额文件我们可以通过xcopy+Tab自动补全将程序拷贝出来 拿到挖矿样本后丢到vt云沙箱对恶意程序进行恶意样本分析,分析结果为矿工程序...,对此功能进行一一排查发现存在一个名为“浏览器.bat”的启动项,该bat打开第一眼没看出啥问题,一片空白,最后把文件拉到最下方发现有内容,woc这妥妥的有大问题 遂即将此exe拷贝下来丢到云沙箱查看
腾讯云打造主机安全加固、WEB应用防火墙、DDoS防护、云防火墙、移动应用安全、小程序安全等产品,多维覆盖政务安全需求,保障互联网+政务服务等保安全合规。...、信息泄露检测环境安全检测:病毒木马检测、WiFi安全检测、URL检测、防截屏录屏、防界面劫持、安全沙箱、二次认证产品优势:稳定:移动应用安全提供的安全能力可在复杂环境下稳定运行,兼容性高、崩溃率低,支持...Android5.0以上全部机型精准:基于手机管家、WiFi管家能力提出的专为客户解决APP运行风险问题的安全服务方案,拥有国内最大最全病毒样本库、检测准确率为98%以上小程序安全除了移动应用APP以外...,绕过微信的客户端保护机制,模拟黑客进一步渗透攻击小程序安全加固:用户只需将代码、路径或文件传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多想保护措施,提高攻击者分析前端代码逻辑的难度...,从而保护小程序代码安全小程序设备指纹:基于多维度的设备信息,通过大数据分析、AI智能算法,为每一台移动设备计算生成唯一的设备ID,再次基础上加上智能风控系统,可有效对抗设备伪造、机控、薅羊毛等恶意行为小程序兼容性测试
领取专属 10元无门槛券
手把手带您无忧上云