下面只挑选部分议题进行介绍，感兴趣的同学可以去官网查看全部议题进一步了解。

监控多个 P2P 僵尸网络的经验见解

来自德国达姆施塔特工业大学、美国马里兰大学和马来西亚理科大学关于监控僵尸网络的研究。研究人员认为监控僵尸网络就像盲人摸象：

P2P 僵尸网络的三个典型模式：非结构化、结构化、寄生。

研究人员通过双队列并行两万个爬虫获取信息。

根据通信模式检测利用合法服务进行 C&C 的失陷主机

来自 Akamai 的工作一向扎实。这次内容提到 Akamai 正在努力跟踪发现失陷痕迹，提醒相关用户存在可疑行为。因为很多犯罪分子都会使用合法的 Web 服务来进行攻击。例如 HAMMERTOSS 使用 Twitter、GitHub 和云存储服务进行 C&C 通信。

典型的三类恶意流量模式：Beacon、DGA 与多信道。

KashmirBlack 僵尸网络的来龙去脉

Imperva 跟踪 PHPUnit 远程代码执行（CVE-2017-9841）漏洞的在野传播，该漏洞影响波及 Drupal、WordPress、PrestaShop 与 Magento 等知名框架。

早于 VirusTotal 在云上检测恶意软件

来自阿里云与达摩院的工作。依托阿里自己的云安全产品，利用 ssdeep 构建超过一亿文件的关系图。新发现的样本和已知的样本进行比对，升级得到样本标签：

狩猎样本可用的哈希函数介绍

Avenger，公众号：威胁棱镜狩猎样本的哈希游戏

例如 21.1 万个 XorDDoS 样本，Avira 引擎能够检出 15.3 万，总有一些样本在 ViursTotal 上是不能被检出的，就可以通过这种方法发现。

恶意软件市场中私密论坛的形态研究

研究人员从 2020 年 6 月 1 日到 2021 年 2 月 10 日，跟踪了一个超过六万成员、100 万帖子的私密论坛和一个超过 18.5 万成员、34.5 万帖子的公开论坛。公开论坛中有 86 个恶意软件提供方、私密论坛中有 136 个恶意软件提供方。

恶意软件中，控制类恶意软件占据了半壁江山。

Qbot 进化之路

从 2007 年开始，Qbot 就持续活跃，是目前最活跃的恶意软件之一。

十五年来高级攻击者对气隙网络的觊觎

ESET 分析白皮书

https://www.welivesecurity.com/wp-content/uploads/2021/12/eset_jumping_the_air_gap_wp.pdf

ESET 博客内容

https://www.welivesecurity.com/2021/12/01/jumping-air-gap-15-years-nation-state-effort/

针对赌博行业攻击的犯罪团伙

趋势科技的研究人员发现了一个专门攻击赌博网站的 APT 组织 GamblingPuppet。该组织全平台通吃，Windows、Linux 和 macOS 都不放过。

趋势科技博客内容

https://www.trendmicro.com/en_hk/research/22/d/new-apt-group-earth-berberoka-targets-gambling-websites-with-old.html

期望 Yara 性能再提升

Yara 目前在分析应用中已经越来越普及，当样本量一大，性能又会变成问题。Avast 的研究人员举了一个例子，一个耗时 45 分钟的 Yara 规则优化后甚至可以提升至 3 秒钟，不好的 Yara 规则对系统资源的占用是巨大的。

Avast 在 Yara 上下了许多功夫，例如开发了将 Yara 规则解析为 AST 的工具 yaramod。还改进了字符串的模式匹配方案，比特币地址匹配可以提速十倍，普通场景下也能提升超过四分之一，这个 PR 日后应该也会被合并进来。

• 尽量不要使用正则表达式，消耗大量内存而且拖慢性能

• 必须要使用正则表达式，避免使用贪婪匹配，且尽量确定匹配上限

• 元数据也占内存，如果内存并不宽裕，尽量缩减元数据

Yara 性能指南

https://github.com/Neo23x0/YARA-Performance-Guidelines/

PS：Twitter 上今年年初开启了一个名为 #100DaysofYARA 的话题，本来进行的如火如荼，可惜俄乌冲突后大家都无心看这个了，后续应该也会整理一下这个话题有什么值得分享的内容。

水坑 RTM 僵尸网络

Group-IB 针对 RTM 僵尸网络的分析与水坑方式的介绍。RTM 僵尸网络的攻击概览如下：