超级会员免费看
VirusTotal 由西班牙安全公司 Hispasec Sistemas 创建,于2004年推出。它 2012年被谷歌收购,并于2018年移至 Chronicle 旗下
介绍
Virustotal 可以作为全球最大的恶意文件上传查询网站发展到今天已经远远不只是判断文件黑白的作用了。许多个人爱好者和安全研究员都在使用virustotal的企业账号进行高级威胁狩猎,hunting自己想要的病毒文件。本博客主要讲哈Virustotal 用来Hunting APT样本的一些技巧。
首先说明一点,APT样本并不是说谁先发出来就是谁的。真正有价值的样本也是不会发出来的,计较样本是谁先hunting到的只会降低圈内分析病毒的积极性。VT上hunting到的样本还好,沙箱监控的样本很容易被猴子上传到微步。
基于规则的检测都会是处理造成绝大部分实际损失的已知安全威胁的最有效手段,它作为当前安全检测的核心与基石,其地位短期内还无法动摇。Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。
yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。
查杀yara规则可以看作是hunting yara规则基础上再进行收缩范围的结果,使yara规则只能命中目的样本,达到精准查杀的目的。
hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样本,但要尽可能少地命中灰样本和白样本。
yara规则的泛化程度与样本数据量和自动化吸收处理能力有正比关系, 极化来说,当样本数据量足够大,且自动化能力能完全处理掉,那就不需要yara规则。
在内部样本量不够充足的情况下,在virustota
订阅专栏 解锁全文
210
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
