恶意样本分析手册——通讯篇

传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通 讯,在此基础上还有利用 HTTP/HTTPS,IRC,P2P 等其他应用层协议 来进行通讯的。一般来说在调试网络通信的过程中,无论恶意软件采 用何种协议均对我们所关注的内容无太多影响,只需要获取到对应的 网络通信数据即可,而且在调试方法上基本无差别,故我们将以调试 利用 TCP 通信的样本为例,讲述如何调试样本中的网络通信部分。对 于其他常见的应用层协议,我们将对其网络结构及相关的僵尸网络构 建方式和方法进行简单描述,便于读者理解。

阅读全文 “恶意样本分析手册——通讯篇” »

Joao恶意样本技术分析与防护方案

昨日,ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者,包括操作系统,用户名以及该用户的权限信息,与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。

相关链接:

http://www.hackread.com/dangerous-new-malware-joao-hits-gamers-worldwide/

阅读全文 “Joao恶意样本技术分析与防护方案” »

TAC检测恶意样本扩展分析实例(下篇)

上篇中,通过对恶意样本的TAC告警分析,以及借助第三方平台进行扩展分析,给大家展示了一个恶意样本有可能的行为,有可能的来源等。下篇,我们来看一下通过手工分析的部分。 恶意样本分析的上篇,我们通过对恶意样本的TAC告警分析,以及借助第三方平台进行扩展分析,让大家了解,一个恶意样本有可能的行为,并尝试找到样本来源。下篇,我们来看一下通过手工分析恶意样本的行为。 阅读全文 “TAC检测恶意样本扩展分析实例(下篇)” »

TAC检测恶意样本扩展分析实例(上篇)

TAC和NIPS的集成方案,在测试过程中捕获一个恶意样本。通过这个恶意样本的TAC告警分析,借助VirusTotal和威胁情报平台工具,我们展示了一次恶意软件的探索之旅。本文是恶意软件分析的上篇,通过TAC设备进行的分析,加上外围工具平台的分析。之后作者将出一份研究院的大拿的人工分析,敬请期待! 阅读全文 “TAC检测恶意样本扩展分析实例(上篇)” »