分析平台再次升级
2017-3-31 Nie.Meining Life
其实中途已经更新过好几个版本了,只是人老了比较懒,一直没更新日志,猛然一看上一篇日志居然是两年前写的……
这期间其实发生了不少事,比如N个项目开发,比如发表论文和撰写专利,以及历尽千辛万苦累感不爱终于毕业了……
废话不多说,新版分析系统更新内容包括检测项目增加、检测能力加强、匹配规则优化等多个方面。
访问地址依旧:http://tcasoft.com/,欢迎大家测试并提出宝贵意见!
--------------------------------------------------------------------------------------------------
另外分享一些比较有意思的恶意代码分析报告,有新有旧:
[java样本] 最近捕获到的java样本越来越多,这是一种新的趋势吗?
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=d97eded86dcd31b357e511b3df61029e
比较有意思的是,自己本来就是个java,还要再释放一个vbs,虽然vbs查询WMI的确挺方便:
[js样本] 当然更大的趋势是各种脚本Downloader,也就是勒索软件……
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=6a71148619077ce9416659ee42b4db15
不过这类样本的存活周期往往比较短暂,为了触发js可能的后续行为我们实现了网络模拟:
有兴趣的伙伴也可以下载pcap包进一步分析。
[BSOD样本] 对于某些加钩子的分析引擎可能会被一起弄崩溃吧。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=39a76b8b933a0c0a87430625b08c0d1a
不过我们的分析方法在硬件层实现,对我们来讲蓝屏也是GuestOS的一种正常状态。
[DLL样本] 这类样本比较少见,主要是因为不太容易触发行为。好在我们开发了专门的加载器。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=576f6fb5d8ac9c44ac3abe6f8d696036
[文档类样本] 这些东西是APT攻击的最爱。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=1a007aa5721ab1743e266a503434bbb3
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=e74596cb5ba2b33a9d8193b9cc0d7354
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=0bbe58ed30fcd35be418739b1eca995f
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=9c5b73c10138f6967b5e6c608b9a8c4bhttp://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=a728cf4da7bbdaee732fa9651c1dd0ad
有漏洞攻击的、有内嵌宏病毒的,还有需要用户交互才能触发的狡猾行为。比如第四个样本的触发秘密就隐藏在截图中 :
[linux样本] linux系统越来越普及,样本也越来越多了。
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=ee5ff02b2417d9fb00eeea16180051f6
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=de841064a9215d27ffaf9b03b65ec4b7
比较有意思的是,第一个样本居然指定了DNS服务器来查询恶意域名,也算是对抗模拟网络的一种手段吧:
第二个样本伪装成日志文件java.log(在类型伪装方面显然linux比windows更加方便),然后调用一些列系统命令完成恶意行为,最后覆盖netstat等常用命令实现传播和复制。
windows样本喜欢使用API序列,但调用系统命令可能是linux样本实现目的的常见方式,显然我们的引擎还没做好准备,输出的参数还不够完整,近期需要加强了。
----------------------------------------------------------------------------
另外由于这次版本更新比较大,以前的一些历史报告可能就看不到了,请谅解……
评论:
-
个人档案
Nie.Meining meiningnie@gmail.com
tech_support@tca.iscas.ac.cn
编程、内核、调试、逆向、搬砖 -
日历
-
搜索
链接
分类
最新日志
最新评论
- Billyscado
Valuable write ups. ... - Lowellmiz
Nicely put, Many tha... - Billyscado
Really all kinds of ... - Lowellmiz
Beneficial knowledge... - Billyscado
Reliable forum posts... - Billyscado
Many thanks. A lot o... - Lowellmiz
Kudos! Wonderful inf... - Lowellmiz
Amazing many of awes... - Billyscado
Seriously tons of su... - Billyscado
You actually reveale...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)
约 7 小时前