XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析

  • A+
所属分类:安全新闻
XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析

过去几年,我们见证了Linux botnet/malware的蓬勃发展,一些常见的家族名也逐渐为大家所熟悉,比如XORDDOS、BillGates、Gafgyt、Mirai等。这其中以2016年出现的Mirai最令人印象深刻。它不仅拥有极强的破坏力,还制造出了使Dyn/Twitter和德国电信断网的大新闻,其僵尸网络的规模甚至突破了数十万的超高量级。

正是Mirai的强大破坏力,人们才更加清晰的认识到原来互联网上有如此多不安全的Linux设备,它们主要是网络摄像头和家用路由器这类IoT设备,由于自身防御能力低但网络带宽充足,因此一旦被黑客控制便会产生不可估量的严重后果。

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析

受Mirai“成功故事”的启发,更多的黑产从业者将目光瞄准网上的Linux设备尤其是IoT设备,旨在挖掘出新的传播漏洞。更糟糕的是2016年9月底,Mirai的作者故意泄露了他们的源代码,这更是大大降低了Linux malware的编写门槛,其它作者纷纷在Mirai代码基础上改编出他们自己的“作品”,或者将Mirai代码植入已有家族进行改进。

可以说,现在的Linux botnet/malware是一片“繁荣”。当大量现成的代码和传播漏洞使得组建Linux僵尸网络成本大大降低时,对网络防御者而言,则又提出了新的挑战。

面对不断攀升的安全威胁,XCon与3位资深安全分析专家共同发起高端培训《Linux botnet/malware从捕获到分析》,在培训中,将分享他们多年来在一线对抗Linux botnet/malware的经验与教训,希望与你共同刷爆这波高能神操作!

拒绝枯燥的理论讲授,全程实操实践。

一线对抗案例分享,实战技能一键进阶。

样本分析彩蛋不断,技能传授出奇制胜。


XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
培训目标

在有限的时间内让学员学到对捕获和分析当下流行的Linux botnet家族最有用的知识和技能
 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
培训内容


1. 如何通过蜜罐技术检测新传播的Linux botnet并捕获其样本,包括如何模拟各种应用协议和漏洞利用环境捕获针对Linux设备的扫描和漏洞利用;如何从这些恶意流量中提取扫描指纹特征、0-/N-day漏洞exploits、恶意样本等。

2. 3种常见CPU架构(x86/MIPS/ARM)Linux malware的静态分析,包括:

1) 汇编指令基础;

2) ELF文件静态分析,包括文件结构、关键函数定位、从stripped样本恢复符号信息等;

3) 如何定位和分析C2通信相关代码并在样本中定位C2信息。


3. 结合IDAPython和radare2介绍如何基于静态分析手段批量的从ELF样本中自动化提取C2信息(IP/域名/端口),涉及特征总结、IDAPython和radare2编程、开源的ELF解析工具使用等。

4. 基于轻量级仿真(LWE: lightweight emulation)思想实现动态的从ELF样本中提取C2信息,结合具体实例介绍LWE原理和常见使用模式、Unicorn仿真工具的使用。
 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
培训亮点


授之以渔,沉浸体验。

培训内容涵盖Linux malware从捕获到分析的完整环节,具体包括:

1. 通过蜜罐技术检测和捕获新出现的未知Linux botnet

2. 模拟各种应用协议的漏洞利用环境捕获对应的扫描和exploits

3. 通过IDAPython和radare2脚本自动化分析Linux malware样本

4. 基于轻量级仿真进行IoC的自动化提取

 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
课程大纲


蜜罐部分(malware hunting)

1. 基础知识介绍
  - 蜜罐基本概念
 - 端口扫描原理
 - 漏洞扫描/利用原理
 - 蠕虫式传播原理
 - 扫描器代码分析

2. 蜜罐开发
  - 应用协议模拟
  - 使用Fuzzing技术
  - 使用Docker技术
  - 恶意样本/URL提取
  - 蜜罐数据结构

3. 蜜罐攻防对抗
  - 蜜罐检测
  - 漏洞检测

4. 蜜罐部署和运维
  - 如何选择云服务器
  - 使用云镜像克隆虚拟机
  - 全球节点数据回传

5. 蜜罐数据分析
  - 分析扫描器指纹
  - 使用YARA规则识别Payload
  - 使用SQL统计分析蜜罐数据
  - 使用基础的机器学习算法分析蜜罐数据
  - 使用Python编写异常检测算法并告警

样本分析部分

1. 如何读懂x86/ARM/MIPS汇编指令
-指令基础
-相关架构CPU的ABI及函数参数传递规定

2. 样本静态分析
-ELF文件结构,start函数的结构及main函数的定位
-从stripped样本中恢复函数符号信息
-网络通信代码的定位和分析
-botnet C2的寻找

3. 基于IDAPython和radare2自动化分析样本
-yara规则的编写
-常见ELF解析工具的使用
-IDAPython编程
-radare2编程

4. 基于轻量级仿真(LWE: lightweight emulation)的自动化IoC提取
-LWE的历史及发展
-LWE跟其它动态分析技术(比如沙箱)的对比
-基于Unicorn的LWE及其使用
-LWE用于ELF样本时执行边界的确定、外部依赖的解决、异常情况的处理等
-LWE用于IoC提取的实例介绍和练习
 
我们会以VirtualBox虚拟机形式提供课程所需的工具、样本和代码,用于教学。


XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
培训收获


  • 手工独立搭建蜜罐捕获并分析已有的Linux malware家族样本。

  • 利用本课程介绍的自动化IoC提取方法固化自己的分析经验,为分析过程全面提速。

  • 从扫描流量的蛛丝马迹中检测新出现的Botnet并捕获其样本。

  • 开发对应的蜜罐软件捕获后续的样本。

 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
培训时间


2020年8月18-19日,共2天

培训地点:北京(具体培训地点将于近期公布)
 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
 报名时间&费用


即日起-8月10日,7999元/人(费用包含:培训课程费、2个培训日午餐),通过嘶票平台购买课程,即可享受“满5000-500元惊喜礼遇”。
 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
报名人数


20人。
 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
报名要求


参加本课程的学员需要具备如下知识:

  • 熟悉Linux常见命令,会使用Linux

  • 有逆向基础,会使用IDA这类分析工具

  • 了解ELF文件,能看懂常见的x86汇编指令


学员需要自带电脑,并安装好以下软件:

最新版本的VirtualBox、IDA

*课程导师将提供VirtualBox虚拟机,里面包含课程所需的工具、样本和代码

 

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
适用人群


  • 网络安全公司的botnet威胁分析人员

  • 一线安服等涉及Linux样本分析的人员

  • 一般公司的IT安全相关人员



XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
导师团队


刘亚,资深安全分析专家,曾从事过高交互蜜罐软件的开发和维护,目前从事botnet的流量分析、样本自动化分析和botnet跟踪等方面的工作。曾多次在Botconf、VBConference、及xKungfoo等国内外会议上分享Linux botnet/malware方面的知识和经验。

叶根深,安全分析专家。曾在KCon/ISC/AVAR/ICANN上发表议题演讲发现并命名多个针对Linux/IoT平台的APT攻击特马,检测到多个IoT在野0-day漏洞攻击。

金晔,安全分析专家。主要从事Windows及LinuxIoT平台,大规模僵尸网络的发现、分析和追踪工作,以及IoC自动化抽取系统的设计和开发。

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析



XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
购票链接及报名方式

报名方式

XCon组委会已委托北京嘶吼文化传媒有限公司旗下售票平台——嘶票为会议活动及培训课程报名服务供应商。主办方将严格保护个人信息谨防泄漏,请如实填写您的注册信息,用于课程开始前的验证。

1. 点击链接:https://www.4hou.com/tickets/bkR5,进入【嘶票】在线报名。选择:高端培训(一):Linux botnet/malware从捕获到分析。

2. 对公支付:请将以下内容发送邮件至[email protected],主题为:XCon2020参会报名。正文中需包含:姓名、所在公司、职位、开票信息、邮箱地址、联络地址、联系电话、特殊饮食。

3. 提交报名表单时,培训信息获取渠道选看雪公众号,将获得一件清爽速干T恤(报名成功后,请将报名的姓名及快递地址邮件看雪[email protected].com)。

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析

XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析



XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
- End -









XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]



ps. 觉得对你有帮助的话,别忘点分享点赞在看,支持看雪哦~


XCon高端培训 | 大牛神操作!带你刷爆Linux botnet/malware从捕获到分析
“阅读原文立刻报名吧

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: