超级会员免费看
本文介绍了如何利用VirusTotal的Yara规则进行高级威胁狩猎,特别是针对APT样本。讨论了Yara-Hunting、Retrohunt功能以及VT搜索过滤规则,强调了编写精准高效的Yara规则的重要性,以及在海量样本中筛选相关恶意文件的策略。
VirusTotal 由西班牙安全公司 Hispasec Sistemas 创建,于2004年推出。它 2012年被谷歌收购,并于2018年移至 Chronicle 旗下
介绍
Virustotal 可以作为全球最大的恶意文件上传查询网站发展到今天已经远远不只是判断文件黑白的作用了。许多个人爱好者和安全研究员都在使用virustotal的企业账号进行高级威胁狩猎,hunting自己想要的病毒文件。本博客主要讲哈Virustotal 用来Hunting APT样本的一些技巧。
首先说明一点,APT样本并不是说谁先发出来就是谁的。真正有价值的样本也是不会发出来的,计较样本是谁先hunting到的只会降低圈内分析病毒的积极性。VT上hunting到的样本还好,沙箱监控的样本很容易被猴子上传到微步。
基于规则的检测都会是处理造成绝大部分实际损失的已知安全威胁的最有效手段,它作为当前安全检测的核心与基石,其地位短期内还无法动摇。Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。
yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。
查杀yara规则可以看作是hunting yara规则基础上再进行收缩范围的结果,使yara规则只能命中目的样本,达到精准查杀的目的。
hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还
订阅专栏 解锁全文
扫一扫
1978
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
