DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

最新推荐文章于 2024-09-03 09:05:40 发布
最新推荐文章于 2024-09-03 09:05:40 发布
阅读量227 收藏
点赞数

之前的文章中,我们给大家介绍了DEF CON CHINA 1.0中的两位神级演讲嘉宾,他们将给我们带来“IPv666 – 魔鬼的地址”的议题分享。今天,再给大家爆料另一位神秘嘉宾。他将在DEF CON CHINA 1.0 上为我们带来“现代恶意软件:反混淆,仿真和隐匿程序”的议题演讲。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

Alexandre Borges是Blackstorm Security的CEO,是一位资深的安全研究员,多年来一直致力于逆向工程、恶意软件分析、数字取证、rootkit和软件漏洞利用等领域。社会兼职有Journal of Digital Forensics, Security and Law杂志审稿人,Digital Law And Compliance Committee委员。

Alexandre曾在多个顶级安全会议上发表过演讲,如HITB 2019年(阿姆斯特丹)和2019年CONFidence会议(波兰),DEFCON 2018,H2HC会议(2015年和2016年),BSIDES(2016年,2017年和2018年),BHack(2018年)等。

除此之外,Alexandre还开展关于恶意软件分析、内存分析、数字取证、移动取证和移动恶意软件分析的培训课程。

下面让我们领略下Alexandre Borges的一些分享。

Malwoverview

Alexandre是Malwoverview恶意软件分类工具的创建者和维护者:

https://github.com/alexandreborges/malwoverview

Malwoverview(Malwoverview.py)是一个可以对含有恶意软件样本的目录进行初步和快速分析的简单工具,可以:

根据导入表(imphash)来确定相似的可执行恶意软件样本(PE/PE+),并用不同的颜色来进行分组。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

根据规则确定可执行恶意软件是否打包。

确定恶意软件样本是否含有overlay。

决定.text域部分的熵。

将恶意软件样本与Virus Total库进行比对。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

https://github.com/alexandreborges/malwoverview

恶意软件分析

下面分享2018年在IT Congress大会上做的对银行木马的分析:

研究人员分析的样本为:

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

样本基本情况为:

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

静态分析

研究人员首先对样本做基本静态分析:

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

分析发现这是一个32位的DLL。但大多数代码都用VMProtect保护,并在64位的恶意软件中。

原始恶意软件中的所有函数都从IAT中移除了。也就是说IAT Portex Analyzer和peframe工具都与packer本身有关联。

VMProtect会检查文件内存的完整性。因此,任何尝试在内存中对恶意软件进行修改都很容易可以检测到。

指令(CPU代码)是虚拟化的,会转换为虚拟机器指令(RISC指令)。

混淆是基于栈进行的。

虚拟化代码是多态的,所以有许多引用同一CPU指令的表示。

原始代码在内存中是不会完全解密的。

有许多无用的冗余代码。这对静态分析来说非常不友好。

对许多函数的调用都有Hooks,比如LoadString()和LdrAccessResource()函数。

恶意软件有许多反调试和反虚拟环境的方法。

对IAT函数的调用被VMProtect部分的调用所替代。

恶意软件中含有许多虚假的push指令。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

IDA Pro中的import table

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

IDA Pro中的export table

尝试运行DLL和绕过所有的VMProtect方法。因为使用了许多插件和技术,所以所以绕过非常难。

恶意DLL文件有三个export,只有一个是有意义的——CryptUIDIgCertMgr。研究人员在谷歌上搜索发现了以下信息:

CryptUIDIgCertMgr是一个展示对话框的函数,对话框允许用户管理证书。

 DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

动态分析

恶意软件尝试修改HKLM\SOFTWARE\Microsoft\SecurityCenter\AntiVirusDisableNotify的值,当AV关闭后可能禁用任何通知。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

在文件系统中创建了驱动文件bf190a1f.sys:C:\Program Files\Windows Kits\10\bin\x86\certmgr.exe”->”C:\Windows\System32\drivers\bf190a1f.sys。另外,还在注册表中插入了指向该驱动的记录:天空彩

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

将内容保存为文件,右击->备份->保存数据到文件。

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

但提取的DLL都将IAT放在一起,每个函数的名字并不一定会出现,需要将虚拟地址转换为真实地址。中国菜刀

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre BorgesDEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

然后,所有文件的原始名都会恢复:

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

http://www.blackstormsecurity.com/docs/Congresso_TI_2018.pdf

大神的安全相关演讲还有:

DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

Oracle相关的演讲有:DEF CON CHINA 1.0 | 神秘演讲嘉宾Alexandre Borges

更多参见http://www.blackstormsecurity.com/bs/en/en_articles.html

DEF CON CHINA 1.0除了主会场高质量的技术演讲外,还有一些WORKSHOPS和VILLAGES分会场共大家学习与交流,其中由浅到深,涉及了数十个主题分享,覆盖面甚广。期待5月31日DEF CON China 1.0正式开幕的那一刻!

systemino
关注
Chainer Chemistry | 用于化学和生物学的深度学习库
DrugAI
11-27 2309
Chainer Chemistry Chainer Chemistry是一个使用Chainer的化学和生物学深度学习库。 Github地址:https://github.com/pfnet-research/chainer-chemistry 手册地址:https://chainer-chemistry.readthedocs.io 该库可帮助您轻松地将深度学习应用于分子结构...
Malwoverview.py 一个简单的工具,用于对包含恶意软件样本的目录执行初始和快速分类-python
06-18
Malwoverview.py 一个简单的工具,用于对包含恶意软件样本的目录执行初始和快速分类 Malwoverview.py(上图中 VT 输出中的差距是因为公共 VT API 密钥,每分钟仅允许 4 次搜索)。 版权所有 (C) 2018-2020 亚历山大·博尔赫斯 该程序是免费软件:您可以根据自由软件基金会发布的 GNU 通用公共许可证(许可证的第 3 版或(由您选择)任何更高版本)的条款重新分发和/或修改它。 分发此程序是希望它有用,但不作任何保证; 甚至没有对适销性或针对特定目的的适用性的暗示保证。 有关更多详细信息,请参阅 GNU 通用公共许可证。 参见 GNU 公共许可证 . 当前版本:3.0.0 重要说明:Malwoverview 默认不向病毒总分析或混合分析提交样本。 它仅提交哈希值,因此遵守保密协议 (NDA)。 尽管如此,如果您使用“-V”(大写)、“-A”(大写)或“-P”(大写),那么 Malwoverview 会分别将您的恶意软件样本提交给 Virus Total、Hybrid Analysis 和 Polyswarm。 关于 Malwo
探索MalwareOverview:深度解析恶意软件分析工具
gitblog_00015的博客
03-23 430
探索MalwareOverview:深度解析恶意软件分析工具 malwoverviewMalwoverview is a first response tool used for threat hunting and offers intel information from Virus Total, Hybrid Analysis, URLHaus, Polyswarm, Malshare, ...
【网络安全开源工具】2024年值得关注的30个开源网络安全工具
A1_3_9_7的博客
01-30 1393
开源工具是网络安全发展的核心动力之一,除了商业安全产品中使用的大量开源代码外,网络安全行业大量网络安全框架、工具、方法、模型甚至情报都以开源方式分享和发展。开源安全项目对于推动网络安全技术的创新和标准化正发挥着越来越重要的作用。
malwoverview
03-28
Malwoverview 是用于威胁搜寻的第一响应工具,提供来自 Virus Total、Hybrid Analysis、URLHaus、Polyswarm、Malshare、Alien Vault、Malpedia、Malware Bazaar、ThreatFox、Triage、InQuest 的英特尔信息,并且能够针对 VT 扫描 Android 设备。 该工具的目的是: 根据导入表(impash)确定相似的可执行恶意软件样本(PE/PE+),并按不同颜色对它们进行分组(注意输出中的第二列)。因此,颜色很重要! 显示有关 Virus Total、Hybrid Analysis、Malshare、Polyswarm、URLhaus、Alien Vault、Malpedia 和 ThreatCrowd 引擎的哈希信息。 确定恶意软件样本是否包含覆盖,如果需要,请将其提取。 检查 Virus Total、Hybrid Analysis 和 PolySwarm 上的可疑文件。 检查 Virus Total、Malshare、Polyswarm、URLhaus 引擎和 Alien
Malwoverview:恶意软件分析的得力助手
gitblog_00903的博客
09-03 410
Malwoverview:恶意软件分析的得力助手 malwoverviewMalwoverview is a first response tool used for threat hunting and offers intel information from Virus Total, Hybrid Analysis, URLHaus, Polyswarm, Malshare, Alien ...
Malwoverview 使用教程
最新发布
gitblog_00463的博客
09-03 398
Malwoverview 使用教程 malwoverviewMalwoverview is a first response tool used for threat hunting and offers intel information from Virus Total, Hybrid Analysis, URLHaus, Polyswarm, Malshare, Alien Vault, ...
signature=1118d98e368c8a116c451399dee6f8ea,Frontiers | Alexandre Henriques
weixin_32451453的博客
05-29 92
摘要:After a PhD in neuropharmacology in 2010, at Sygnis Bioscience (Heidelberg, Germany), he joined as a junior scientist the laboratory headed by Jean Philippe Loeffler in Strasbourg (France), to char...
红外数据集 | 收集OTCBVS、KAIST、FLIR红外图像数据
热门推荐
王博(Kings)的博客
10-13 2万+
目录 1 . OTCBVS数据集 Dataset 01: OSU Thermal Pedestrian Database Dataset 02: IRIS Thermal/Visible Face Database Dataset 03: OSU Color-Thermal Database Dataset 04: Terravic Facial IR Database Dataset 05: Terravic Motion IR Database Dataset 06: Terravic W
信息熵是怎样炼成的 | 纪念信息论之父香农
喜欢打酱油的老鸟
06-17 2903
https://www.toutiao.com/a6685498360318657036/ ​​撰文 | 丁玖(南密西西比大学数学教授) 纪念"信息论之父"香农的最好方式,莫过于重温一下他怎样定义信息熵的数学思想,去理解现代信息论这个基本概念——仅用初等代数即可推导,令人赏心悦目,流连忘返! 确定性过程在数学里是司空见惯的现象。众所周知,一个函数的迭代过程是确定性的,因为下一...
Python-Malwoverviewpy一个简单的工具用于对包含恶意软件样本的目录执行初始和快速分类
08-10
Malwoverview.py 一个简单的工具,用于对包含恶意软件样本的目录执行初始和快速分类
Virustotal-python-API
05-28
VirusTotal-Python-API 解释: : pAJJb-gIS2k
Golang IPv6地址枚举-Golang开发
05-26
Golang IPv6地址枚举ipv666注意-该软件先前已获得GPLv3许可,此后已更新为BSD。 ipv666是一组工具,可用于在全局IPv6地址空间和更窄的IPv6网络范围中发现IPv6地址。 这些工具被设计为在开箱即用的情况下,对其工作原理的了解最少。 从v0.4开始,我们已经在工具集中提供了功能,您可以选择与我们共享发现的任何地址。 各方上传的所有结果
Alexandre-Quintin:亚历山大的演讲现场
05-29
亚历山大-昆廷的演讲可能涉及JavaScript的最新趋势、最佳实践、性能优化、以及如何利用JavaScript构建复杂的Web应用等内容。他可能会讨论以下关键点: 1. **ES6及更高版本的新特性**:ES6(ECMAScript 2015)引入了...
Alexandre_lab_omicscode
02-22
Gladys Alexandre博士实验室的组学分析 通讯员: 首席研究员:格拉迪斯亚历山大- 实验室经理:Elena 数据分析师:Lam 或 (个人: ) 目的: 多组学分析已成为回答许多模型生物中系统级生物学问题的金标准。 ...
alexandre-djerbetian:个人网站
03-19
我的个人网站 链接: 网站: : 去做 基础设施 自动部署工作流程 按域模块分隔服务器 使用纱线工作区 在Github操作中启用柏树的视频下载 试纱2 尝试koa或固定而不是表达 ...在Github操作中使用测试报告 ...
matlab Timmy Siauw Alexandre M. Bayen
08-06
本书《An Introduction to MATLAB® Programming and Numerical Methods for Engineers》由Timmy Siauw和Alexandre M. Bayen撰写,是一本针对工程师的MATLAB编程和数值方法的入门教材。本书旨在帮助工程师和工程专业...
Alexandre_Belloni_boottime_optimizations_2012年11月6日在ELC_Europe上做
08-04
Alexandre_Belloni_boottime_optimizations_2012年11月6日在ELC_Europe上做】的报告主要关注的是嵌入式系统的启动时间优化问题,由Adeneo Embedded公司的Alexandre Belloni在2012年11月6日的欧洲Linux Conference ...
! Configuration File for keepalived global_defs { notification_email { acassen@firewall.loc failover@firewall.loc sysadmin@firewall.loc } notification_email_from Alexandre.Cassen@firewall.loc smtp_server 127.0.0.1 smtp_connect_timeout 30 router_id LVS_01 #vrrp_skip_check_adv_addr #vrrp_strict #vrrp_garp_interval 0 #vrrp_gna_interval 0 } vrrp_instance VI_1 { state MASTER interface ens33 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 1111 } virtual_ipaddress { 192.168.119.188 } } /etc/keepalived/keepalived.conf/ 但是ip addr 查询为什么不显示vip地址
06-12
根据您提供的信息,我无法判断您的问题出在哪里。但是,如果您已经正确地配置了keepalived,而且在keepalived的配置文件中已经定义了虚拟IP地址,但是在执行`ip addr`命令时没有看到该IP地址,则可能是因为该虚拟IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值