欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

【高端培训报名中】大牛神操作!带你刷爆Linux malware/botnet捕获分析全过程!

admin2020-07-1446资讯


过去几年,我们见证了Linux malware/botnet的蓬勃发展,一些常见的家族名也逐渐为大家所熟悉,比如XORDDOS、BillGates、Gafgyt、Mirai等。这其中以2016年出现的Mirai最令人印象深刻。它不仅拥有极强的破坏力,还制造出了使Dyn/Twitter和德国电信断网的大新闻,其僵尸网络的规模甚至突破了数十万的超高量级。

正是Mirai的强大破坏力,人们才更加清晰的认识到原来互联网上有如此多不安全的Linux设备,它们主要是网络摄像头和家用路由器这类IoT设备,由于自身防御能力低但网络带宽充足,因此一旦被黑客控制便会产生不可估量的严重后果。


受Mirai“成功故事”的启发,更多的黑产从业者将目光瞄准网上的Linux设备尤其是IoT设备,旨在挖掘出新的传播漏洞。更糟糕的是2016年9月底,Mirai的作者故意泄露了他们的源代码,这更是大大降低了Linux malware的编写门槛,其它作者纷纷在Mirai代码基础上改编出他们自己的“作品”,或者将Mirai代码植入已有家族进行改进。

可以说,现在的Linux malware/botnet是一片“繁荣”。当大量现成的代码和传播漏洞使得组建Linux僵尸网络成本大大降低时,对网络防御者而言,则又提出了新的挑战。

面对不断攀升的安全威胁,XCon与三位资深安全分析专家共同发起高端培训《Linux malware/botnet的捕获和分析》,在培训中,将分享他们多年来在一线对抗Linux malware/botnet的经验与教训,希望与你共同刷起这波高能神操作!

拒绝枯燥的理论讲授,全程实操实践

独家案例绝密分享,实战技能一键进阶

样本分析彩蛋不断,神技传授出奇制胜

培训收获

你将收获:

· 手工独立搭建蜜罐捕获并分析已有的Linux malware家族样本

· 利用本课程介绍的自动化IoC提取方法固化自己的分析经验,为分析过程全面提速

· 从扫描流量的蛛丝马迹中检测新出现的Botnet并捕获其样本

· 开发对应的蜜罐软件捕获后续的样本

培训亮点

授之以渔,沉浸体验

培训内容涵盖Linux malware从捕获到分析的完整环节,具体包括:

1 通过蜜罐技术检测和捕获新出现的未知Linux botnet

2 模拟各种应用协议的漏洞利用环境捕获针对应的扫描和exploits

3 通过IDAPython和radare2脚本自动化分析Linux malware样本

4 基于轻量级仿真进行IoC的自动化提取

培训内容

1.如何通过蜜罐技术检测新传播的Linux botnet并捕获其样本

包括如何模拟各种应用协议和漏洞利用环境捕获针对Linux设备的扫描和漏洞利用;如何从这些恶意流量中提取扫描指纹特征、0-/N-day漏洞exploits、恶意样本等。

2.三种常见CPU架构(x86/MIPS/ARM)Linux malware的静态分析,包括:

1) 汇编指令基础

2) ELF文件静态分析,包括文件结构、关键函数定位、从stripped样本恢复符号信息等

3) 如何定位和分析C2通信相关代码并在样本中定位C2信息

3.结合IDAPython和radare2介绍如何基于静态分析手段批量的从ELF样本中自动化提取C2信息(IP/域名/端口),涉及:

特征总结、IDAPython和radare2编程、开源的ELF解析工具使用等

4.基于轻量级仿真(LWE: lightweight emulation)思想实现动态的从ELF样本中提取C2信息,结合具体实例介绍LWE原理和常见使用模式、Unicorn仿真工具的使用。

培训时间

2020年8月19-20日,共2天

8课时

培训地点:北京

报名时间&费用

即日起-8月10日

7999元/人

(费用包含:培训课程费、教材费、2个培训日午餐)

报名人数

20人

【名额有限】

目标对象

参加本课程的学员需要具备如下知识:

熟悉Linux常见命令,会使用Linux

有逆向基础,会使用IDA这类分析工具

了解ELF文件,能看懂常见的x86汇编指令

明星导师团


叶根深

安全分析专家

曾在KCon/ISC/AVAR/ICANN上发表议题演讲

发现并命名多个针对Linux/IoT平台的APT攻击特马

检测到多个IoT在野0-day漏洞攻击


金烨

安全分析专家

主要从事Windows及LinuxIoT平台

大规模僵尸网络的发现、分析和追踪工作

以及IoC自动化抽取系统的设计和开发


刘亚

资深安全分析专家

曾从事过高交互蜜罐软件的开发和维护

目前从事botnet的流量分析、样本自动化

分析和botnet跟踪等方面的工作

曾多次在Botconf、VBConference、及xKungfoo等国内外会议上分享Linuxbotnet/malware

方面的知识和经验

特别说明

学员需要自带电脑,并安装好以下软件:

最新版本的VirtualBox

IDA

*课程导师将提供VirtualBox虚拟机,里面包含课程所需的工具、样本和代码

报名方式

XCon组委会已委托北京嘶吼文化传媒有限公司旗下售票平台——嘶票为会议活动及培训课程报名服务供应商。主办方将严格保护个人信息谨防泄漏,请如实填写您的注册信息,用于课程开始前的验证。

1、在线报名——嘶票——高端培训:Linux malware/botnet的捕获和分析【即日起,在嘶票平台购买本培训,即可享受”满5000元-500元“的惊喜礼遇,先到先得,福利亦可重复使用】

【高端培训报名中】大牛神操作!带你刷爆Linux malware/botnet捕获分析全过程!  资讯 第1张

2、对公支付:请将以下内容发送邮件至xcon@xfuturesec.com,主题为:XCon2020参会报名。正文中需包含:姓名、所在公司、职位、开票信息、邮箱地址、联络地址、联系电话、特殊饮食。

*注册信息务必填写完全且真实,以便组委会为您投递发票类重要物品。

3、如需预定会议酒店房间,可发送电子邮件至xcon@xfuturesec.com,主题为:XCon2020酒店预定(通过会务组预定可享受协议价格)

COMPFun:利用HTTP状态码进行控制的木马

2019年10月,卡巴斯基研究人员分析了COMpfun的继任者Reductor通过被黑的TLS流量来感染文件。2019年11月,研究人员又发现了一个木马与COMpfun代码相似性非常高。进一步分析表明,该木马使用了COMpfun的部分代码。 攻击活动概述 该攻击活动的主要目标是欧洲的外交机构,通过伪造的visa应用来进行传播。但是目前还不清楚恶意代码是如何传播到目标的。释放器中含有加密后的合法应用,还有下一阶段的32位和64位的恶意软件。 感染链:HTTP状态码作为C2命令 研究人员发现其中C2通信协议使用HTTP/HTTPS状态码作为C2命令。客户端错误码HTTP状态码(422-429)表示运营人员给木马的命令。控制服务器发送了状态码“Payment Required” (402)后,所有之前接受的命令都会执行。 作者在加密的配置数据中保存了RSA公钥和唯一的HTTP ETag。该标记可以用于过滤到C2的请求。与C2通信时,除了RSA公钥外,恶意软件还会生成一个自生成的AE

网友评论