[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解

已于 2023-09-06 09:54:54 修改
阅读量3.4k 收藏 3
点赞数 2
分类专栏: 系统安全与恶意代码分析 文章标签: 系统安全 自动化 IOC提取 逆向分析 DataCon比赛
于 2023-09-01 23:07:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/132631199
版权
本文介绍了2022年DataCon比赛中涉及的恶意样本IOC自动化提取,主要针对Mirai僵尸网络。内容涵盖源码分析、二进制样本解析、自动化思路,包括脱壳、解密字符串提取、C2主机和端口信息提取。通过逆向分析,详细讲解了字符串加解密和C2设置函数,提供了自动化提取的步骤和方法,有助于提升恶意样本分析能力。
摘要由CSDN通过智能技术生成

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运且遗憾,我们团队近年来也获得过第1、2、4、6、7、8名过,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!

在这里插入图片描述

文章目录

了解本专栏 订阅专栏 解锁全文
Eastmount
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
[网络安全提高篇] 一二四.DataCon涉网分析恶意样本IOC自动化提取万字详解
杨秀璋的专栏
02-21 1007
这篇文章是作者2022参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,我连续参加过四届,很幸运且遗憾,我们团队近来也获得过第1、2、4、6、7、8名过,希望更多童鞋都参加进来!感恩同行,不负青春,且看且珍惜!
DataCon:DataCon大数据安全分析大赛,2019方向二(恶意代码检测)冠军原始码,2020方向五(恶意代码分析)季军
02-04
数据会议 :clinking_beer_mugs: _ .- ' ) ( ' .( OO )_ ,--. .- ' ),-----. .- ' ),-----. ,--. ,--.) | | .- ' ) ( OO ' .-. ' ( OO ' .-. ' | `. ' | | | OO )/ | | | | / | | | ||
DataCon类
Leovany的专栏
01-13 1436
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data; using System.Data.SqlClient; namespace SMS.BaseClass {     class DataCon     {         //建立数据库连
安卓恶意代码数据集(Android Malware and Benign apps)整理
qysh123的专栏
11-18 6883
因为最近想做一些简单的实验,而自己之前收集的数据找不着了,所以又看了看别人的推荐,发现ResearchGate上这个讨论里有些回答还是总结得很好的: https://www.researchgate.net/post/Where_can_I_get_Android_Malware_Samples 例如有一位朋友总结到: Nowadays, we can find other projects...
基于机器学习的恶意请求识别(Python代码及数据集
05-21
这是作者恶意代码分析、网络安全、系统安全等系列教程,主要是通过机器学习、人工智能和深度学习来分析恶意代码的在线笔记。希望对您有所帮助,学无止境,一起加油。参考作者的博客和github资源,由于github速度限制,故上传免费资源供大家学习。 [网络安全自学篇] 二十四.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例 https://blog.csdn.net/Eastmount/article/details/102852458 https://github.com/eastmountyxz/AI-for-Malware-Analysis-
恶意软件数据库
02-27
恶意软件数据库 恶意软件数据库NiceTry.jpg#4425 警告 仅在虚拟机上运行该文件! 您可以丢失文件,应用程序,损坏/感染系统和ETC。 信息 所有档案的密码:已感染 档案名称= SHA256 病毒/恶意软件-用于感染,破坏或擦除文件或任何系统组件的软件。
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
最新发布
杨秀璋的专栏
04-26 357
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1191
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 421
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
阿里云安全恶意程序检测-数据集
03-20
security_submit.csv security_train.zip security_test.zip
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
机器学习算法的恶意代码检测
03-04
论文 有关用机器学习算法进行恶意代码检测。分别针对静态、动态这 2 种分析 模式下的检测方案进行了讨论,涵盖了恶意代码样本采集、特征提取与选择、机器学习算法分类模型的建立等要点。对机器学习算法下恶意代码检测的未来工作与挑战进行了梳理。为下一代恶意代码检测技术的设计 和优化提供了重要的参考
MaleX:针对恶意软件研究者的精选恶意软件和良性Windows可执行文件的数据集
04-08
男X MaleX是恶意软件和良性Windows可执行文件示例的精选数据集,适用于恶意软件研究人员。 数据集包含1,044,394个Windows可执行二进制文件,其中864,669被标记为恶意软件,而179,725被标记为良性。 该数据集具有合理数量的样本,足以测试数据驱动的机器学习分类方法,还可以在可伸缩性和适应性方面衡量设计模型的性能。 频域中的恶意软件可视化 在频域中可视化恶意软件的动机是由于文学中恶意软件的“稀疏”特征表示形式,通常是从二进制文件的原始字节或反汇编的指令(n-gram,n-perms)中提取出来的。 将给定的可执行二进制文件读取为16位带符号十六进制向量,并将其划分为相应的二位字节(n-gram字节,n = 2)。 例如,对于字节流0a1bc48a ,对应的二元组将为0a1b , 1bc4和c48a 。 然后,我们使用二元语法频率计数来获得尺寸为256x256的
基于ember数据集恶意代码深度学习
qq_30534253的博客
11-07 1024
笔者刚开始学习相关的知识,根据自己的理解以pytorch为框架复现了论文中的有关代码,并对ember数据集中“train_features_1.jsonl”的十万余条数据进行训练,希望能对和我一样的小白一些参考,并希望得到专业人士及大佬的一些指正。首先ember数据集可以在中下载论文中模型的主要框架为论文一共对二进制的pe文件进行了四组数据的提取,分别是字节熵、直方图、导入函数表、pe元数据信息。首先是读取json文件。
(恶意软件分类)微软恶意软件分类数据集预处理
walker的博客
10-23 744
之所以将不同恶意软件家族转化为灰度图后分别用不同的文件夹存储,一方面是方便标记类别,其次是可使用。部分的二进制代码片段,此处只将 .bytes文件转化为灰度图像进行分析。文件,.bytes 文件即为恶意软件的。数据集中,每个样本包含。
Ember恶意软件数据集的使用教程
Evan_Kuo
05-08 7778
    20184月份,网络安全公司Endgame发布了一款名为EMBER的大型开源数据集。EMBER是一个包含了100多万种良性和恶意PE文件(Windows可执行文件)集合,这是一种常见的恶意软件隐藏格式。同时,针对该数据集,该公司同时在github上发布了如何使用该数据集的一个教程贴。在该教程的指引下,我尝试搭建了该项目的运行环境,并成功执行。但是过程中依然遇到了一些问题,现整理问题如下。...
Android端恶意代码检测学习之路——(2)静态分析(apk数据集的获取)
qq_45378281的博客
10-13 1816
菜鸡学习之路
全部1000元 域名_DataCon 2020 DNS恶意域名分析方向冠军writeup
05-24
恭喜您获得域名_DataCon 2020 DNS恶意域名分析方向冠军!以下是您的writeup: 赛题概述: 本次比赛的任务是对一组恶意域名进行分析。每个参赛者需要对提供的数据集进行分析,从中筛选出恶意域名,并对这些域名进行分类、分析和解释。数据集包括了近期出现的一些恶意域名,其中一部分已被官方确认。 分析流程: 1. 数据集的基本情况分析 首先,对数据集进行一些基本的统计分析,比如恶意域名的数量、出现频率、域名长度、TLD分布等等。这些分析可以帮助我们初步了解数据集的特点,为后续的分析提供一些指导。 2. 特征提取数据集分析的基础上,我们需要对每个域名进行特征提取。常用的特征包括域名长度、字符集分布、TLD类型、子域名数量、字母频率等等。提取出来的特征可以作为后续模型训练的输入。 3. 恶意域名分类 接下来,我们需要对每个域名进行分类。分类的目的是将恶意域名和正常域名分离开来,为后续的分析提供基础。常用的分类方法包括传统的机器学习分类算法(如决策树、SVM等)和深度学习分类算法(如CNN、LSTM等)。 4. 恶意域名分析 分类完成后,我们需要对恶意域名进行进一步的分析。具体来说,我们需要分析每个恶意域名的类型、攻击方式、受害者等等。这些分析可以帮助我们更好地了解恶意域名的本质和特点,为后续的防御工作提供指导。 5. 结果展示 最后,我们需要将分析结果进行展示。可以采用报告、PPT、图表等多种形式来呈现分析结果。同时,也可以将分析结果与其他团队进行交流,分享经验、互相学习。 总结: 通过对数据集分析和特征提取,我们可以将恶意域名和正常域名分离开来,并进行进一步的分类和分析。这些工作可以帮助我们更好地了解恶意域名的本质和特点,为后续的防御工作提供指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值