我遇到以下问题:

我想找到某种恶意软件家族的新二进制文件-解压缩后用于后续分析(活动C&C通讯分析)。

是否有二进制文件的数据库,可以在其中编写如下查询:

请给我与使用模糊哈希作为距离度量和输入二进制(或其集合)同源的样本,并然后按看到的日期过滤?

要澄清,样品不使用包装。

评论

视听公司(和一些安全公司)花费大量资源来创建这些数据库。我知道没有一个公共系统允许您仅使用一个样本(或一组样本)作为输入来搜索同源样本。您可能想根据样本中的字符串进行搜索,如果您无法使用该方法找到任何东西,请与影音行业的朋友联系,看看他们是否可以帮助您找到相关的样本。

#1 楼

恐怕其中大多数数据库都是不公开的,恶意软件分析公司试图将其保留。

但是,我建议您看看VirusTotal(有关更多信息,请参见Wikipedia页面)有关它的信息),它可能是在线提供的最齐全的数据库。

如果您要运行自己的服务器,则可能还想看看IRMA(事件响应恶意软件分析)框架。最后,这里是有关在二进制斑点中查找相似性的方法的工具和论文的集合:



sdhash工具(另请参见此博客文章);

ssdeep工具;

BinSlayer:二进制可执行文件的准确比较,作者:Bourquin,King和Robbins,2013年(GitHub项目);

mvHash-一种模糊散列的新方法,由Knut PetterÅstebø撰写,2012年;

对法医相似性哈希的评估,由Vassil Roussev撰写,2011年。

此列表是还远远不够完整,但是我认为这是一个很好的起点...

希望对您有帮助!

#2 楼

VirusTotal具有要匹配的导入哈希:
http://blog.virustotal.com/2014/02/virustotal-imphash.html

评论


实际上,imphash(导入哈希)仅对应于可执行文件导入表的哈希。对于使用不寻常的API函数集的软件来说,这是一个很好的签名,但是,如果您仅使用非常常见的API函数,则不会引起注意。比您提供的链接更好,更喜欢此链接(更为详细)。

–恐怖
2014年8月22日12:36

#3 楼

我在团队工作以解决暗点问题。我们的平台可以根据特征向量对提交的恶意软件进行比较和聚类。基本上,我们进行静态和动态分析,以确定我们看到的所有软件的特征。然后,我们使用机器学习来发现匹配项。您还可以根据常规搜索字词进行显式匹配。

#4 楼

malshare.com-请求API密钥并提取所需的所有示例。