分析平台再次升级
2017-3-31 Nie.Meining Life
其实中途已经更新过好几个版本了,只是人老了比较懒,一直没更新日志,猛然一看上一篇日志居然是两年前写的……
这期间其实发生了不少事,比如N个项目开发,比如发表论文和撰写专利,以及历尽千辛万苦累感不爱终于毕业了……
废话不多说,新版分析系统更新内容包括检测项目增加、检测能力加强、匹配规则优化等多个方面。
访问地址依旧:http://tcasoft.com/,欢迎大家测试并提出宝贵意见!
--------------------------------------------------------------------------------------------------
另外分享一些比较有意思的恶意代码分析报告,有新有旧:
[java样本] 最近捕获到的java样本越来越多,这是一种新的趋势吗?
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=d97eded86dcd31b357e511b3df61029e
比较有意思的是,自己本来就是个java,还要再释放一个vbs,虽然vbs查询WMI的确挺方便:
[js样本] 当然更大的趋势是各种脚本Downloader,也就是勒索软件……
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=6a71148619077ce9416659ee42b4db15
不过这类样本的存活周期往往比较短暂,为了触发js可能的后续行为我们实现了网络模拟:
有兴趣的伙伴也可以下载pcap包进一步分析。
[BSOD样本] 对于某些加钩子的分析引擎可能会被一起弄崩溃吧。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=39a76b8b933a0c0a87430625b08c0d1a
不过我们的分析方法在硬件层实现,对我们来讲蓝屏也是GuestOS的一种正常状态。
[DLL样本] 这类样本比较少见,主要是因为不太容易触发行为。好在我们开发了专门的加载器。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=576f6fb5d8ac9c44ac3abe6f8d696036
[文档类样本] 这些东西是APT攻击的最爱。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=1a007aa5721ab1743e266a503434bbb3
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=e74596cb5ba2b33a9d8193b9cc0d7354
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=0bbe58ed30fcd35be418739b1eca995f
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=9c5b73c10138f6967b5e6c608b9a8c4bhttp://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=a728cf4da7bbdaee732fa9651c1dd0ad
有漏洞攻击的、有内嵌宏病毒的,还有需要用户交互才能触发的狡猾行为。比如第四个样本的触发秘密就隐藏在截图中 :
[linux样本] linux系统越来越普及,样本也越来越多了。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=ee5ff02b2417d9fb00eeea16180051f6
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=de841064a9215d27ffaf9b03b65ec4b7
比较有意思的是,第一个样本居然指定了DNS服务器来查询恶意域名,也算是对抗模拟网络的一种手段吧:
第二个样本伪装成日志文件java.log(在类型伪装方面显然linux比windows更加方便),然后调用一些列系统命令完成恶意行为,最后覆盖netstat等常用命令实现传播和复制。
windows样本喜欢使用API序列,但调用系统命令可能是linux样本实现目的的常见方式,显然我们的引擎还没做好准备,输出的参数还不够完整,近期需要加强了。
----------------------------------------------------------------------------
另外由于这次版本更新比较大,以前的一些历史报告可能就看不到了,请谅解……
评论:
约 2 小时前
http://cialisa1c.com - when is generic cialis coming out
http://cialisa1c.com - generic cialis
http://sildenafild9z.com - safe online sildenafil
http://zithromax0l1.com - www.zithromax0l1.com
http://sildenafila1c.com - walmart pharmacy teva sildenafil 20 mg
约 8 小时前
http://prednisolone0l1.com - prednisolone 40mg side effects
http://cialis0l1.com - www.cialis0l1.com
http://xenical0l1.com - can i buy xenical over the counter?
http://prozac0l1.com - www.prozac0l1.com
http://cialisa1c.com - generic cialis 5mg
约 11 小时前
http://tadalafild9z.com - tadalafil for enlarged prostate prices publix
http://propecia0l1.com - www.propecia0l1.com
http://viagrav3u.com - low dose of viagra for urine
http://tadalafila1c.com - tadalafil
http://allopurinol0l1.com - allopurinol 100 mg tablet price
-
个人档案
Nie.Meining meiningnie@gmail.com
tech_support@tca.iscas.ac.cn
编程、内核、调试、逆向、搬砖 -
日历
-
搜索
链接
分类
最新日志
最新评论
- knoca
776c40 best age take... - knoca
776c40 is wirkung wi... - Aarontic
http://zithromax0l1.... - knoca
776c40 we recommend ... - Aarontic
http://metformin0l1.... - Aarontic
http://cialis0z.com ... - Aarontic
http://lisinopril0l1... - knoca
is safe online order... - knoca
best gnc is ... - Aarontic
http://tadalafild9z....
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)
17 分钟前
super is cheap from india