本帖最后由 QVM360 于 2024-11-9 13:05 编辑
样本区的所有主题帖中所包含的任何文件和附件都有危害你的计算机的可能,并且没有安全软件可以100%防护这些样本。样本仅供测试、交流和学习,禁止用于任何非法用途。
请在虚拟机中测试样本。对于下载样本、附件以及点击链接所导致的任何数据泄露、破坏,以及所产生的任何损失,本人和卡饭论坛不负任何责任。
名词解释: 1,本文中的VT时间是指Virustotal网站上的First Submission的时间到发出样本的时间之间的时间差。 VT的"First Submission"在此: 2,本文中的VT报毒数指Virustotal网站上对此样本判定为恶意的安全软件厂家数。
3,灰色软件指的是"广告软件,潜在的不受欢迎的/不安全的应用程序,黑客工具和漏洞驱动"
一,样本区发帖的注意事项(请以论坛相关规定为准) 1,不允许发违规软件。比如V.PN,代.理类软件(即使它们是带毒的) 也请注意回复的内容是否出现相关字眼,已经有人被处罚了! 2,在发样本时,要注意文件名是否有违规内容。如果有,必须把文件名改掉! 3,发Office宏病毒时,注意Office文档里是否有违规内容,如果有请清除违规内容。 4,不要发陈旧样本(VT时间60天以上的),和重复样本(有着同样的Hash的样本)。 二,怎样找样本?
这里给出几个常用找样本的网站:
注意事项: (1)打开下载页面点击下载后,如果出现"Token expired",请后退后刷新以下界面再下载,如果问题同样出现,请重复以上步骤。 (2)打开下载页面点击下载后,如果出现"Token already used",说明你已经下载过这个样本了,关闭标签页即可。 (3)打开下载页面点击下载后,如果出现"Client IP missmatch",请后退后刷新以下界面再下载,如果问题同样出现,请重复以上步骤。 (4)遇到压缩包形式的样本就不要下载了,因为样本上传人大多会把压缩包内的文件解压后再上传。如果下载压缩包,解压后很可能出现样本重复的问题 (5)请右键点击"download",因为这个网站非常不人性化,如果直接点击download,网页不会在新的窗口给你打开下载页面,这样在下载多个样本的时候就会很麻烦。 (6)在网站的末尾有"Showing 1 to 250 of 1,000 entries",这个网站仅显示前1000个样本。 (7)国内无法访问此网站(论坛禁止讨论访问方法 )
2,ANY.RUN,这是一个非基于cuckoo的云沙箱,支持交互,可以显示样本的家族信息。
(1)下载样本需要注册账号,如果你下载的样本比你上传的样本多太多,账号就会被ban。 解决办法:把本区的样本解压后一个一个上传,或者从Malwarebazaar上下载样本,加个upx壳后上传。 (2)不能使用qq,163,outlook等常见的邮箱和临时邮箱注册,只能使用域名邮箱和企业邮箱。 (3)如果你一次下载太多的样本,ANY.RUN的反爬虫机制就会要求你进行谷歌的reCaptcha人机验证,这也是让我最烦的一点。 (4)在ANY.RUN搜索框右边有过滤的功能,如果是找样本的话,建议将"VERDICT"一栏设置为"Malicious","Object"一栏中"Runtype"选择为"File",这样可以省去筛选的麻烦。 (5)有些白文件(尤其是软件安装包)会被ANY.RUN识别为恶意,所以最好找有指示样本家族性标签或者行为标签的 (如"ransomware","stealer","agenttesla"等。) 以下标签不属于样本家族性标签或者行为标签:"opendir","xor-url","phishing"等。在样本分析页中有"Get Sample"的按钮,点击即可下载 (6)从ANY.RUN下载的所有文件后缀会加上".bin",请注意更正后缀,也可以不改后缀发布在本区以防止手贱误点。 (7)从ANY.RUN下载的文件会变为一个压缩包,压缩包密码:infected .
3,微步在线云沙箱,这是由微步研发的云沙箱软件,里面的样本主要是国产的样本,样本符合国内网络环境。 注意事项: (1)需要购买高级版才能下载样本。 (2)里面含有大量陈旧样本和不能运行的样本,筛选很麻烦。 (3)微步的"恶意"tag误报相当高,不能只凭借其tag来找样本。 (4)这个云沙箱不如ANY.RUN,不推荐使用此云沙箱。
(1)寻找样本请关注以下几个人的VT账号: thor, joesecurity, VMRay, jameswt, zbetcheckin,Jaffacakes118
进入他们的空间页,可以看到他们"评价"的样本。比如: 点击上面的Hash即可进入样本分析界面,再将Hash复制到ANY.RUN,或者Triage中下载。 (2)注册账号即可对样本进行评论 这是下载界面,以20200720的emotet为例: 2020-07-20 - DATA DUMP: EMOTETWITH TRICKBOT
ASSOCIATED FILES:
2020-07-17-Emotet-epoch-3-infection-example.pcap.zip 2.7 MB (2,717,487 bytes)
2020-07-20-Emotet-malspam-14-examples.zip 356 kB (356,155 bytes)
2020-07-20-Emotet-epoch-1-infection-with-Trickbot-gtag-mor113.pcap.zip 3.5 MB(3,502,396 bytes)
2020-07-20-malware-and-artifacts-from-Emotet-with-Trickbot-infection.zip 723 kB(723,047 bytes)
NOTES:
All zip archives on this site are password-protected with the standardpassword. If you don't know it, see the "about" page of this website. (1)含有pcap字样的文件一般不带毒。 (2)下载比较慢,请耐心等待。 (3)从这里下载的文件会变为一个压缩包,压缩包密码:infected (4)压缩包中的文件有些不带毒,请进行筛选!
注意事项: (1)样本多,但质量不高。 (2)更新周期长。 (3)需要使用邮箱注册,然后才能下载(自己上网找注册方法) 7,URLhaus,这是带毒网址池,数量和更新速度都比较快,和MalwareBazaar一样,都是abuse.ch管理的。 注意事项: (1)这里的很多样本都是钓鱼或者诈骗网址,可以发到毒网区,不要发在样本区。 (2)有些网址是带毒exe的直链,但这些exe基本都在MalwareBazaar中出现,所以不推荐在这下载。 8,Triage,这个是和ANY.RUN差不多的云沙箱,点击左侧"Download sample"可以下载样本,样本数量比ANY.RUN多。为了避免下载到白文件,请注意检查样本的"score"以及命中的yara规则。这个沙箱灵敏度比anyrun高,也支持交互。 注意事项:
(1)注册才能下载样本,注册需要使用谷歌的reCapcha验证。 (2)国内无法访问此网站(论坛禁止讨论访问方法) 三,如何筛选样本? 答: 如果一个样本无法被确定为100%恶意,那么请不要加上"病毒样本"的标签。 广告软件/漏洞驱动/黑客工具 可以使用此标签,但是需要注明。 (1)专业人士可使用虚拟机+火绒剑(可下载独立版)或者"Process Monitor"等软件进行分析。 (2)在ANY.RUN中分析,如果ANY.RUN给出的结果是"Malicious activity",且命中了家族性样本的yara特征的话,基本可以判定为恶意。 (3)上传到VirusTotal上分析,如果VT结果大于20,那么基本可以判定为恶意。 我们不欢迎低质量样本的出现,如果一个样本的检测率太高,那么请不要在本区进行分享。 四,如何上传样本? 答:上传的所有带毒的附件必须加上密码,并在帖子中注明,建议将密码设置为为infected,如果设置为infected,在主题贴中可不注明。 (1)使用论坛的"附件"功能,但大小有限制,超出限制请使用第三方网盘。 (2)使用第三方网盘,推荐使用蓝奏云(文件大小限制100MB),如果还是超出限制,建议使用文叔叔(限制4GB) 五,要怎样发样本才受大家欢迎?(非硬性要求) 1,发样本包。 2,发较新的样本(VT时间小于24小时的)。 3,发高质量样本(VT报毒数在10~15以内的,且必须是黑文件)。 4,在标题中注明样本的家族 (可以放在ANY.RUN或Triage中分析)。如果无法判定样本的家族,可以使用样本MD5, SHA-256作为标题。 5,发自制样本(玩笑样本还是算了)。 六,如何使用云沙箱? 以我最喜欢用的,且我认为是最好用的ANY.RUN为例: 点击New task,选择文件或者输入文件直链,即可分析样本 正在运行的样本分析界面大概可以分为4个模块 1,在交互界面,你可以和ANY.RUN的自动机交互,就像交互界面是你的电脑一样,缺点就是会有点延迟。 2,在详细信息界面,你可以看到样本及其衍生物的网络连接和文件释放、修改等操作,还可以下载该样本的衍生物。 3,在样本信息界面,你可以看到样本的Hash,和标签。 4,在进程树界面,你可以看到每个相关进程的重要行为及其命令行。
如果是你看别人上传的样本分析界面或你自己的已经完成的样本分析界面,除了不能交互外,其他的都可以做到。 七,其他疑问 1,谁在管理病毒样本区? 答:卡饭管理员,卡饭事务委员会成员,卡饭病毒样本区版主(活跃:QVM360, 白露为霜),卡饭督察 2,我不知道样本的压缩包密码? 答:除非主题帖中有注明,否则默认为infected,如果密码仍然不正确,请私信该主题帖楼主。 3,我不小心手贱在实体机中运行了恶意软件怎么办? 答:请立即安装安全软件查毒,并备份你的文件。 4,我看他们都在讨论"加驱", "内核", "APT"等内容,但是我听不懂怎么办?
答:建议阅读:【新手上路】样本区常用词汇简单解析(2024/08/19更新)
| 
发表于 2024-9-16 22:21:02
楼主
发表于 2024-9-17 00:17:28