Question:
Où puis-je, en tant qu'individu, obtenir des échantillons de logiciels malveillants à analyser?
mrduclaw
2013-03-24 02:36:15 UTC
view on stackexchange narkive permalink

Il semble qu'une utilisation courante des compétences de rétro-ingénierie logicielle consiste à inverser le code malveillant dans le but de créer une meilleure protection pour les utilisateurs.

Le goulot d'étranglement ici pour les personnes aspirant à pénétrer dans l'industrie de la sécurité grâce à cela Le chemin semble être un accès facile à de nouveaux exemples de code malveillant sur lesquels s'entraîner et créer des heuristiques.

Existe-t-il de bonnes ressources pour une personne non affiliée à une organisation pour télécharger des logiciels malveillants en masse pour effectuer une analyse?

Quelques questions similaires sur [security.se]: [Recherche de l'échantillon Win32.Sality à des fins d'analyse de logiciels malveillants] (http://security.stackexchange.com/q/18875); [Dépôts de sources de Malwares. Où?] (Http://security.stackexchange.com/q/277)
http://cyberwarzone.com/massive-collection-100-000-public-malware-samples/
https://zeltser.com/malicious-ip-blocklists/
Quatorze réponses:
#1
+85
ŹV -
2013-03-24 02:52:28 UTC
view on stackexchange narkive permalink

Il existe un certain nombre de ressources intéressantes à partir desquelles vous pouvez trouver des logiciels malveillants

  • Le premier vidage d'exemples de logiciels malveillants Contagio
  • KernelMode.info (se concentre sur Win32 et de nouvelles techniques de rootkit)
  • DamageLab.org (les gens publieront occasionnellement leurs exécutables décompressés ici, qui diffèrent des exécutables «dans la nature» qu'ils cherchent à se déposer sur les ordinateurs des victimes, mais intéressant néanmoins, de nombreuses déchirures de techniques et de logiciels plus connus, allant de TDL à Zeus, peuvent être trouvées sur des sites comme celui-ci)
  • La multitude de sites de vidage de logiciels malveillants comme MalwareBlacklist
  • Comme qbi l'a gentiment souligné, Malware.lu (vous devez vous inscrire pour les échantillons)

En plus de cela, vous pouvez toujours vivre dangereusement et cliquer sur des publicités de marketing affilié louches ou trouver diverses signatures pour la multitude de " BEP" (Browser Exploit Packs) que les auteurs de logiciels malveillants utilisent fréquemment pour obtenir installe et analyse la charge utile pour essayer de trouver wh lorsqu'ils essaient de télécharger et d'exécuter.

C'est fantastique, j'ai adoré consulter DamageLab.org.
Il y a aussi VirusShare.com
Je suggère de transformer cela en wiki communautaire, cela permettra un accès facile aux informations de toutes les réponses.
Je voulais juste en ajouter un que j'ai rencontré: [VX Heaven] (http://vxheavens.com/). Il comprend des forums, des archives de virus et un tas d'entretiens avec des auteurs de virus de la vieille école.
N'oubliez pas l'ordinateur de grand-mère.
#2
+31
joxeankoret
2013-03-24 19:13:47 UTC
view on stackexchange narkive permalink

Il existe de nombreuses options intéressantes pour obtenir des échantillons de logiciels malveillants dans tous les commentaires, mais je souhaite également vous indiquer deux autres options:

  • Open Malware. Ceci est le nouveau site de l'ancien Offensive Computing.
  • J'avais l'habitude d'héberger une liste de MalwareURLs sur Mon blog, mais il semble que l'ATM soit en panne. Je mettrai à jour avec une nouvelle URL dès qu'elle sera sauvegardée.
MalwareURLs est assez génial! Puis-je vous demander d'où vous obtenez les URL?
Crawlers, sandbox, flux d'URL publics et privés tiers, etc.
Merci, je suppose que j'espérais davantage une liste de flux d'URL que je peux également parcourir.
Les deux semblent être en baisse maintenant.
#3
+29
Dougall
2013-03-24 08:39:34 UTC
view on stackexchange narkive permalink

J'utilise VirusShare.com, qui contient environ 5,6 millions d'échantillons. Vous devrez demander l'accès, mais je viens d'expliquer la recherche que je faisais (en tant que personne non affiliée à une organisation) et ils m'ont laissé entrer.

Votre question mentionnait le téléchargement en masse. Le site dit:

Vous voulez plus que quelques échantillons? Vous voulez télécharger de très gros échantillons de logiciels malveillants? Vous souhaitez télécharger la quasi-totalité du corpus? Pas de problème.

Le site fournit des torrents, chacun composé de plus de 100 000 échantillons (allant de 13 Go à 85 Go). Chaque torrent est un seul fichier zip. Vous pouvez également télécharger des fichiers individuels, mais si vous ne souhaitez pas les télécharger en masse, vous feriez peut-être mieux de consulter l'une des autres excellentes réponses.

Mise à jour: [virusshare.com] (http://virusshare.com) a actuellement 20 395 749 échantillons. Edit: Maintenant, il a 20,395,769 ...
#4
+23
qbi
2013-03-24 02:54:24 UTC
view on stackexchange narkive permalink

Je suggère Malware.lu. Le site Web écrit (au 23/03/2013):

Actuellement, la base de données contient des 5 356 052 échantillons.

Vous devez d'abord demander un compte. Le site Web répertorie une adresse e-mail. Vous pouvez envoyer quelques mots pour expliquer pourquoi vous souhaitez y créer un compte. Après un certain temps, ils vous envoient vos données de connexion.

Vous pouvez accéder aux données via le site Web, mais ils fournissent également une API. Voir l'exemple de code Python.

#5
+22
Denis Laskov
2013-04-01 19:28:11 UTC
view on stackexchange narkive permalink

Vous pouvez commencer à chercher à partir de votre dossier de courrier indésirable et de la quarantaine antivirus.

Si vous avez besoin de quelque chose en particulier, vous pouvez essayer de les récupérer en direct, à partir d'URL publiées par d'autres chercheurs, et après avoir trouvé quelque chose que vous souhaitez partager, ajoutez-y aussi.

Voici une liste que j'ai créée une fois pour mes lecteurs:

  1. Liste des domaines de logiciels malveillants

  2. Requête d'URL

  3. Liste des malwares de Malekal.com

  4. VX Vault

  5. Inspecteur de site (par Comodo)

  6. Scumware.org

  7. Base de données Malc0de

  8. Sucuri Malware Labs

  9. Clean-MX Realtime Database

  10. Laboratoires de l'équipe de recherche sur la vulnérabilité Sourcefire

  11. Zeus Tracker

  12. NovCon Minotaure Analysis System

Le mérite revient à: http://ondailybasis.com/blog/?p=1188

#6
+11
rev
2013-03-24 17:38:44 UTC
view on stackexchange narkive permalink

Vous avez également la possibilité de créer votre propre HoneyPot pour capturer des logiciels malveillants en direct. Cela demande un peu d'effort et quelques ressources (achat d'une adresse IP adressable Internet). Cependant, l'avantage de cette méthode est que vous êtes pratiquement assuré de capturer les logiciels malveillants qui sont actuellement utilisés activement dans la nature. Il est possible que vous gagniez un jackpot et que vous soyez également infecté par un tout nouveau malware qui pourrait même exploiter les vulnérabilités de 0 jours. Cette approche est très utile pour les personnes qui connaissent déjà bien le domaine de l'inversion. J'ai utilisé Dionaea ( http://dionaea.carnivore.it/) dans le passé pour installer mon propre pot de miel avec de très bons résultats. Il est rempli d'instructions, d'arrière-plans et de références.

Pour les débutants et pour les personnes qui ne veulent pas faire trop d'efforts pour collecter des échantillons, je vous conseillerais de télécharger le malware depuis les sites de l'autre les affiches ont indiqué.

#7
+10
atorrrr
2013-04-02 20:04:45 UTC
view on stackexchange narkive permalink

Il existe plusieurs options pour obtenir des échantillons à analyser.

Scraping

Celui-ci est extrêmement courant et est utilisé par de nombreuses recherches pour construire un échantillon bases de données.

Recommandation: Vous pouvez créer votre propre grattoir de sources communes ou vous en inspirer comme: https://github.com / technoskald / maltrieve

Malware Farms

D'autres recherches permettront parfois d'accéder à leurs collections. Un exemple de ceci est malware.lu

Recommandation: Essayez de demander l'accès à malware.lu et à des dépôts similaires. Consultez la liste en bas pour en savoir plus. C'est un excellent moyen d'accéder rapidement à de nombreux échantillons.

Honeypots

Les chercheurs peuvent utiliser des honeypots côté serveur et client pour essayer de collecter des logiciels malveillants.

Recommandation:

Checkout http://dionaea.carnivore.it/ pour un pot de miel côté serveur. Ils sont parfaits pour collecter des logiciels malveillants auto-propagés.

Checkout https://github.com/buffer/thug pour un pot de miel côté client.

Manuellement

Vous pouvez parcourir les parties ombragées d'Internet et chercher vous-même des échantillons.

C'est à peu près la liste standard des exemples de sources: http: //www.kernelmode. info / forum / viewtopic.php? f = 16&t = 308

Chacun des exemples ci-dessus a ses avantages et ses inconvénients. Je vous recommande de jouer avec chacun pour savoir lequel produit ce dont vous avez besoin.

#8
+6
user1307
2013-03-30 00:27:52 UTC
view on stackexchange narkive permalink

Si vous le demandez gentiment, vous pourrez peut-être obtenir l'accès des chercheurs à VirusTotal.

Cela fonctionnerait-il même si je ne suis qu'un type aléatoire sur Internet qui veut apprendre sans informations d'identification?
Il n'y a qu'une seule façon de le savoir :-)
Oui tu devrais essayer
Bien que ce lien puisse répondre à la question, il est préférable d'inclure les parties essentielles de la réponse ici et de fournir le lien pour référence. Les réponses aux liens uniquement peuvent devenir invalides si la page liée change. Pourquoi recommandez-vous cela? Que propose-t-il?
Même s'il s'agit d'un ancien article, je pense que je devrais dire que j'ai contacté VIrusTotal l'année dernière pour obtenir l'accès et qu'ils m'ont juste donné une liste de prix.
#9
+6
user1399
2013-04-02 17:30:49 UTC
view on stackexchange narkive permalink

J'aime utiliser Kyle Maxwells Maltrieve https://github.com/technoskald/maltrieve, qui collectera des logiciels malveillants à partir de diverses ressources.

De plus, j'ai quelques exemples à télécharger sur mon site TekDefense.com http://www.tekdefense.com/downloads/

Légende du hasard: https://tuts4you.com/ download.php? view.3554

Le dernier est pour ceux qui veulent repartir de zéro. Je pense que c'est super pour vous de commencer avec Ollydbg. Malheureusement, son site principal est déjà en ligne en ce moment .Ainsi, vous ne pouvez obtenir que des PDF, saisissez-les avant qu'il ne disparaisse

#10
+5
mrduclaw
2013-04-04 02:06:09 UTC
view on stackexchange narkive permalink

Je voulais juste en ajouter un que j'ai trouvé sur reddit, juste pour qu'il soit ici:

http://www.malshare.com

La bonne chose à propos de cet endroit est qu'il n'y a absolument aucune inscription ou quoi que ce soit.

#11
+4
Dominik Antal
2013-12-27 03:07:40 UTC
view on stackexchange narkive permalink

Sujet Reddit associé.

[Modifier] Voici le contenu de la page:

"Recherchez sur youtube facebook, msn, gmail, yahoo, etc. des outils de piratage de mots de passe ou des choses comme des générateurs de points xbox et vous êtes assuré de trouver quelques RAT. " - ashtrae

-

"Essayez de parcourir les résultats récents sur urlquery.net Si vous voyez des recherches / analyses récentes qui ont été marquées comme malveillantes, il y a de fortes chances qu'elles n'aient pas encore été corrigées. Il existe de nombreux autres sites sur lesquels vous pouvez télécharger des échantillons emballés dans des fichiers .zips protégés par mot de passe, mais je suppose que vous cherchez quelque chose en direct, comme un drive by exploit dans ce cas? Si c'est vrai, urlquery devrait vous aider. " - NattyBroh

-

"En plus de ce qui est déjà mentionné. Votre dossier spam. Certains logiciels malveillants se propagent via des campagnes par e-mail. Torrents / Usenet - de nombreuses applications piratées sont livrées avec un petit plus. De nouveaux torrents non vérifiés sur les trackers publics sont un bon point de départ. De petits réseaux publicitaires peu précis. les petites entreprises n'ont pas les ressources nécessaires pour tout analyser à fond. ... Vérifiez les publicités pour divers services de blackhat, cliquez sur les liens, vous trouverez des trucs amusants. Les méchants ne sont pas au-dessus de s'infecter les uns les autres. est une bonne devise à suivre. Si vous distribuiez des logiciels malveillants, comment feriez-vous? " - choleropteryx

https://malwr.com/ // posté par highentropy1337
http: / /malwaretips.com/forums/virus-exchange.104/ // publié par Websly http://contagiodump.blogspot.in/ // publié par bhumish
http://www.kernelmode.info/forum/ // posté par idkbtc

Posté par loualbano :

  1. http://www.scumware.org/reports.scumware
  2. http://minotauranalysis.com/malwarelist.aspx (peut-être mort)
  3. http://www.malc0de.com/database/
  4. http://www.malwareblacklist.com/showMDL.php
  5. http://cybercrime-tracker.net/
  6. https://zeustracker.abuse.ch/monitor.php?browse=binaries
  7. http://vxvault.siri-urz.net/ViriList.php
  8. https: //palevotracker.abuse .ch /
  9. https://spyeyetracker.abuse.ch/monitor.php?browse=binaries
  10. http: //www.sacour.cn/m/ (en partie en chinois et en partie en anglais, cliquez pour trouver des liens .exe)
  11. http://www.nothink.org/viruswatch .php
  12. http://www.blade-defender.org/eval-lab/ ( mort ?)
  13. http://www.malwaredomainlist.com/forums/index.php?topic=3270.0
  14. http://www.malwaredomainlist.com/ update.php
  15. http://malwaredb.malekal.com/
  16. http://avcaesar.lu/
  17. http://malwareurls.joxeankoret.com/normal.txt ( mort ?)
  18. http://virusshare.com/
  19. ht tp: //contagiodump.blogspot.com/
  20. http://www.kernelmode.info/forum/viewforum.php?f=16
  21. http://malshare.com/
  22. http://www.malwareblacklist.com/showMDL.php ( mort ?)
  23. http://openmalware.org/
  24. http://secuboxlabs.fr/ ( mort ?)
  25. http://support.clean-mx.de/clean-mx/viruses.php
  26. http://www.offensivecomputing.net/
  27. https://forums.malwarebytes.org/index.php?s=fab929606b2191a7ecc31194dec7118f&showforum=51
  28. http://jsunpack.jeek.org/?list=1
  29. http://malwared.ru/database. php? page = 1
Bien que ce lien puisse répondre à la question, il est préférable d'inclure les parties essentielles de la réponse ici et de fournir le lien pour référence. Les réponses aux liens uniquement peuvent devenir invalides si la page liée change.
@0xC0000022L Corrigé.
et merci d'avoir réagi et bien sûr +1.
#12
+3
VCollect
2013-04-02 17:07:29 UTC
view on stackexchange narkive permalink

Voici un site Web que j'aime et qui n'a pas été mentionné auparavant

  • malwaretips.com - forum "Virus Exchange" avec des échantillons de partage de communauté actifs, contient également des références à d'autres sites de partage de logiciels malveillants.
Veuillez nous donner plus de détails - pourquoi ces sites méritent-ils d'être mentionnés?
#13
+3
Bright
2013-07-11 14:49:21 UTC
view on stackexchange narkive permalink

J'en donne un bon: http://www.virussign.com/downloads.html, il contient également un rapport d'analyse du comportement.

Bien que ce lien puisse répondre à la question, il est préférable d'inclure les parties essentielles de la réponse ici et de fournir le lien pour référence. Les réponses aux liens uniquement peuvent devenir invalides si la page liée change. Pourquoi recommandez-vous cela? Que propose-t-il?
#14
+2
AminM
2016-03-12 14:45:49 UTC
view on stackexchange narkive permalink

theZoo
theZoo est un projet créé pour rendre la possibilité d'analyse de malware ouverte et accessible au public. Depuis que nous avons découvert que presque toutes les versions de logiciels malveillants sont très difficiles à trouver d'une manière qui permette l'analyse, nous avons décidé de les rassembler toutes pour vous de manière disponible et sûre. theZoo est né par Yuval tisf Nativ et est maintenant maintenu par Shahak Shalev.
Source de logiciels malveillants
Binaires de logiciels malveillants



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...