查看: 8827|回复: 21
收起左侧

[分享] ESET自定义反勒索HIPS规则

[复制链接]
fireherman
发表于 2016-9-19 11:21:16 | 显示全部楼层 |阅读模式
本帖最后由 fireherman 于 2016-9-19 11:38 编辑



灵感完全来自样本区:
http://bbs.kafan.cn/thread-2057258-1-1.html

http://bbs.kafan.cn/thread-2057208-1-1.html

单纯看这个勒索软件的后台操作,简单粗暴;不过有时越简单的东西似乎越不容易发现,结果被人……好吧……用“歹徒”比较贴切,结果被歹徒乘虚而入。

net.exe和net1.exe 在系统文件夹(windows\system32\),不知道ESET自身是不是有默认规则保护。(防注入应该是有的,但想不到会被人调用干坏事)


添加自定义规则:

询问/阻止:自定义反勒索规则1

源应用程序:全部有效(所有应用程序)

询问/阻止(AD规则):用于所有操作
目标应用程序:C:\Windows\System32\net.exe
目标应用程序:C:\Windows\System32\net1.exe


我个人选择询问,因为这个系统程序使用率本身就不高(弹窗不多),如果选择阻止(不弹窗)应该也没问题。

qftest
发表于 2016-9-19 12:35:54 | 显示全部楼层
ESET hips内置规则虽然有程序启动控制,但如果自定义规则已有路径规则允许调用所有目标则会因优先级的原因自动失效;另外,目标太多了逐一定制规则会很繁琐,所以我用ERP补充

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猪头无双
头像被屏蔽
发表于 2016-9-19 12:36:47 | 显示全部楼层
思路不错,然而实际操作应该还有问题
fireherman
 楼主| 发表于 2016-9-19 12:41:20 | 显示全部楼层
qftest 发表于 2016-9-19 12:35
ESET hips内置规则虽然有程序启动控制,但如果自定义规则已有路径规则允许调用所有目标则会因优先级的原因 ...

爱死你了。

你没提供这张ERP的图,我差点忘记ShutDown.exe这个敏感文件,被病毒木马控制后强制关机就麻烦了。
qftest
发表于 2016-9-19 12:45:32 | 显示全部楼层
fireherman 发表于 2016-9-19 12:41
爱死你了。

你没提供这张ERP的图,我差点忘记ShutDown.exe这个敏感文件,被病毒木马控制后强 ...

系统内容易被利用的程序太多了,如果你也用ERP的话,我可以分享一个列表给你参考
ERP对付这种后台调用特别好用,还自带有命令行检测
fireherman
 楼主| 发表于 2016-9-19 12:46:44 | 显示全部楼层
猪头无双 发表于 2016-9-19 12:36
思路不错,然而实际操作应该还有问题

嗯,我有想过,通常是【切换用户】和【注销账号】时可能有问题(因为我的系统只有一个用户),所以加入询问条款。
fireherman
 楼主| 发表于 2016-9-19 12:50:56 | 显示全部楼层
qftest 发表于 2016-9-19 12:45
系统内容易被利用的程序太多了,如果你也用ERP的话,我可以分享一个列表给你参考
ERP对付这种后台调用特 ...

ERP我没开,不过谢谢啦。请PM。

ESET HIPS没有命令行确实麻烦,就如样本区那两个,虽然知道它后台调用了系统文件进行超越账户级别的锁屏操作,但由于HIPS自身没有命令行检测,不知道他后面加了什么参数和有没有调用其他程序
bbszy
发表于 2016-9-19 12:52:54 来自手机 | 显示全部楼层
eset英文官网上有防勒索的规则。比你写的这个详细很多。从邮件到防火墙到hips都有
qftest
发表于 2016-9-19 12:55:12 | 显示全部楼层
fireherman 发表于 2016-9-19 12:50
ERP我没开,不过谢谢啦。请PM。

ESET HIPS没有命令行确实麻烦,就如样本区那两个,虽然知道它 ...

已PM
不用ERP而去逐一定制规则的话会吐血而亡的
一般net命令行这种是脚本提权用的,不知道ESET10的脚本防御效果如何,期待小白鼠测试
fireherman
 楼主| 发表于 2016-9-19 12:57:31 | 显示全部楼层
bbszy 发表于 2016-9-19 12:52
eset英文官网上有防勒索的规则。比你写的这个详细很多。从邮件到防火墙到hips都有

那个我看过,HIPS还好。

防火墙那块不行。看得头晕眼花,组合不好使。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:21 , Processed in 0.135494 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表