你懂样本分析吗，就在那吐槽？

喷子再次上线。

今天看到一篇文章，上来就吐槽SolarWinds供应链事件分析的：

看到这我立马坐不住了，作为喷子我必须喷下。

我们对其文章中提到的两个问题一一回复：

1、“就算你看到这个进程做了通信操作，你能确定这就是个恶意的样本么？“

为何不能？一个可疑样本，你都发现他会回传数据了，会接收命令来执行了，都反弹shell了，还没法判断这是恶意样本？这都不能，哪样才可以？exe写着“我是恶意样本”吗？

2、“我就想问问，FireEye和微软不公开这件事之前，这个样本丢你面前，你能知道是个供应链后门么？“

为何不能？当通过大数据、dns数据、agent等数据抓捕到一个恶意样本，经分析，该可疑样本判断为恶意文件，且：

2.1 是官方下载的

2.2 有官方签名

2.3 大量下载同软件的人都中招了

etc

如果上述条件都满足的情况下，我相信应该有极大的几率判断是官方投毒或供应链攻击了吧。再尔，不能把国外想的那么牛逼，别说什么fireeye公不公开国内能不能发现此类话，难道国内发现不了供应链攻击吗？我相信，只要有数据、流量，发现此类攻击问题不大吧，驱动人生就是一个很好的例子。

因此，希望该公众号作者说话前动点脑子，不要动不动就在那吐槽，别秀智商下限了。

本文始发于微信公众号（千寻瀑）：你懂样本分析吗，就在那吐槽？