查看: 20375|回复: 188
收起左侧

[原创] ESET10勒索病毒防御测试

  [复制链接]
windows7爱好者
发表于 2016-10-28 18:44:44 | 显示全部楼层 |阅读模式
本帖最后由 windows7爱好者 于 2016-10-29 16:38 编辑

测试环境: win10 ltsb 14393,打好最新补丁,使用Shadow Defender进行测试,测试全程使用梯子
ESET版本:
捕获.PNG
测试时所用设置全部为默认,关闭文件监控,开启HIPS的智能模式
注意!本测试只单独测试ESET的反勒索保护功能,不代表ESET的最大防护能力,请不要因此而觉得ESET毫无亮点!

捕获.PNG


注意!由于malware traffic上的某些样本并不是勒索,所以我只测试被典型标注为勒索软件的程序


第一个样本
捕获.PNG
毫无反应,真是不给面子啊
捕获.PNG
第二个样本
捕获.PNG
被高级内存扫描击杀
捕获.PNG
经过和驭龙以及fireherman的讨论,我决定关闭高级内存扫描,单独测试ESET的反勒索功能
在添加了文件系统防护的排除以后,AMS终于不杀了,重新测试第一个样本
捕获1.PNG
捕获.PNG
捕获.PNG
然后我体验到了什么叫做惨败
先来一张说明书,恐怖的是,creber居然会播放声音来提醒用户文件被加密,一个年轻女性的声音,吓我一跳
捕获.PNG
再来一张桌面背景
捕获.PNG 由于彩色图片太大,所以只能截这么多了,红线标出的是上图的勒索信程序
最后再来看看战果,creber的勒索后缀貌似是随机的,后缀为b931,一共加密了5373个项目
捕获.PNG
今晚看情况, 有时间我会进行第二个测试,没有的话就得等到明天了
容我先缓缓




评分

参与人数 18经验 +100 分享 +2 魅力 +1 人气 +21 收起 理由
屁颠屁颠 + 100 + 1 16年年度奖励
ericdj + 3 感谢提供分享
君陌潇 + 1 感谢提供分享
qftest + 1 ESET需要更努力
驭龙 + 1 许诺的3人气,已经全部送上,承诺已完成

查看全部评分

windows7爱好者
 楼主| 发表于 2016-10-28 21:49:35 | 显示全部楼层
本帖最后由 windows7爱好者 于 2016-10-29 18:05 编辑

鉴于广大人民的要求....
有请我们的二号选手登场

这次我从13号的包里找了另一个类型,没有用creber

看到疯狂的磁盘读写,我就莫名的慌
首先我要怒骂一句,你TM足足加密了15分钟,中途卡的不能操作...你这样子用户早就发现了好吧
桌面背景镇楼
214232ypsrcgrz9f86fdyr.png.thumb.jpg
受害者镇楼,里面有一个,就是我刚截的图片,没有加密
捕获.PNG
这个勒索比creber更加狠毒,废话,时间更长嘛
加密后缀odin,6545个文件
捕获.PNG
看,有趣的现象就在这里
ESET保护了 自己的文件免受加密,但这是自保模块的功劳,勒索防护依然在打酱油,没有丝毫的作为
捕获.PNG
另外通过这个日志,不难发现,这个勒索是通过复制一份原文件,
然后进行加密,再删除原文件的方式进行的,可以根据日志的其他信息得出
最后再补上一发勒索信,还原去了
捕获.PNG
RSA-2048



windows7爱好者
 楼主| 发表于 2016-10-28 22:23:41 | 显示全部楼层
第三个
取自我以前发的老样本,以快准狠为特点
http://bbs.kafan.cn/thread-2059119-1-1.html
老方法,添加文件系统保护排除,同时关闭保护
捕获.PNG

干脆利索,我喜欢
捕获.PNG
同样,ESET很好的保护了自己
捕获.PNG
我突然想到一个好办法,把自己的文档放到ESET的目录下面,这样就说不定OK啦
捕获.PNG
捕获.PNG
这个勒索可以说是雨露均沾,EXE,DLL,JS,HTML,JPG,PNG,
甚至连快捷方式都没放过
windows7爱好者
 楼主| 发表于 2016-10-29 11:25:21 | 显示全部楼层
从第四个开始,跟进和 Bitdefender的对比测试
样本来源于http://bbs.kafan.cn/forum.php?mo ... page=23#pid38657622
222楼
长期更进
样本介绍我就不照抄了,毕竟看疗效重要
捕获.PNG
11.jpg
11.jpg

JackPot看着旁边被加密的的文件:什么,我是无辜的
勒索信是一个全屏提示,低调黑,我喜欢
212121.jpg
加密后缀为coin
有趣的是,这个勒索只会动C盘的文件,并且对深层次目录不感兴趣,因此ESET没有受到骚扰[:01:]
1416个文件,挺温柔
8.jpg


windows7爱好者
 楼主| 发表于 2016-10-29 13:15:23 | 显示全部楼层
第五个,跟进中
这个测试完后,我会添加官方反勒索规则重新测试这5个样本,用来对比自带的反勒索功能
捕获.PNG
双击2秒直接弹出勒索信,还带动感闪光,我喜欢
1414.jpg
此勒索着重于对系统的破坏。双击后,系统一部分变成英文
系统文件被加密
捕获.PNG
小E继续酱油,自己没有大碍
windows7爱好者
 楼主| 发表于 2016-10-29 16:08:32 | 显示全部楼层
走过路过不要错过,官方反勒索规则来啦!
这是HIPS部分
捕获.PNG
这是FW部分
捕获.PNG
绝对原生,绝无修改!(其实我也不会修改

再次有请我们5位擂主
捕获.PNG
防火墙使用默认的自动模式,HIPS也仍为默认的智能模式,关闭高级内存扫描
稍后回来,测试马上开始
windows7爱好者
 楼主| 发表于 2016-10-29 16:21:40 | 显示全部楼层
第一个:GOGOGO
CREBER会调用CMD删除卷影备份,防火墙规则里有关于CMD的,不过和这个调用CMD删除备份关系不大,是禁止CMD联网的,不知结果如何呢
捕获.PNG
看到莫名高的读写,我又开始方了
捕获.PNG
果然 我们的ESET这次!
又战败了...

捕获.PNG
补充说明:样本加密完成后会自删除,然后产生勒索信程序(红线部分)
然后用甜美的女声告诉你:快给我比特币

HIPS日志空空如也
捕获.PNG
防火墙日志空空如也
捕获.PNG
被加密文件数我就不上了,参考上次测试
windows7爱好者
 楼主| 发表于 2016-10-29 16:43:31 | 显示全部楼层
第二个
出现了一些小问题,本来的第二个样本在我这里莫名抽风,
关掉防护,加了排除,依然被AMS杀掉,所以这里将第二个换为原测试中第三个样本进行测试
捕获.PNG
捕获.PNG
HIPS和防火墙的依然在打酱油,本轮测试继续失败
捕获.PNG
捕获1.PNG
windows7爱好者
 楼主| 发表于 2016-10-29 16:51:53 | 显示全部楼层
第三个样本(使用原测试第4个)
捕获.PNG
捕获.PNG
捕获.PNG
捕获.PNG
捕获.PNG
不需要解释什么了,三连败
windows7爱好者
 楼主| 发表于 2016-10-29 17:01:56 | 显示全部楼层
第四个(使用原帖第5个进行测试)
这个勒索是毛子的
勒索信在此 捕获.PNG
以破坏系统为主要目标,对个人文档不出手,所以加密是瞬间完成,无法截取任务管理器里的进程
然后会强制占用屏幕前端,弹出这个
131204db3w343o8sxz5xf2.jpg.thumb.jpg
HIPS  and   FW
捕获.PNG
捕获.PNG

由于第二个样本临时抽风,这4个的测试已经说明了一些问题,所以第五个测试我将不再测试原测试样本
我要测试JS下载器,让你们看看官方规则的用武之处
不能太不给官方面子对吧
windows7爱好者
 楼主| 发表于 2016-10-29 17:21:31 | 显示全部楼层
全新测试!
这些全部都是下载者,我给简单的编了1-6号
捕获.PNG
双击第一个
捕获1.PNG
捕获1.PNG
但是欣喜之余,发现起作用的仍然不是官方规则,而是僵尸网络防护的内部网址拉黑
捕获.PNG
我想了一下,先把hta 的类型双击完吧
果然发现全是僵尸网络防护在起作用,这些地址都被拉黑了
第二个
捕获.PNG
捕获1.PNG

第三个
捕获.PNG
捕获1.PNG
这个测试说明ESET对于下载者还是有很不错的防护能力,靠内部的网址拉黑,能起到不错的效果
windows7爱好者
 楼主| 发表于 2016-10-29 17:28:45 | 显示全部楼层
本帖最后由 windows7爱好者 于 2016-10-29 17:29 编辑

这次到真正的JS的下载者
捕获.PNG
我们的官方规则,终于起作用了
捕获.PNG
三个都为这个提示,属于HIPS规则部分,禁止EXPLORER启动脚本宿主程序
事实上还禁止了一大堆,但是这是有弊处的,我想你们应该知道
捕获.PNG

本次测试圆满结束,以后我会不定期更新和BD的样本对比测试
直到....直到ESET的反勒索和BD一样优秀为止
附上官方规则地址
hips http://support.eset.com/kb6119/
fw http://support.eset.com/kb6132/
先去喝口茶

评分

参与人数 1人气 +1 收起 理由
sunnyjianna + 1 根据版规,加1分以示鼓励

查看全部评分

驭龙
发表于 2016-10-28 18:57:17 | 显示全部楼层
我刚好回来看一眼,先支持了,明天送上人气,我先下了
fireherman
发表于 2016-10-28 19:03:45 | 显示全部楼层
小7的ESET测试怎能不支持?
Johnkay.Young
发表于 2016-10-28 19:05:29 | 显示全部楼层
支持测试,看看ESET主动防御能力。
windows7爱好者
 楼主| 发表于 2016-10-28 19:07:37 | 显示全部楼层
fireherman 发表于 2016-10-28 19:03
小7的ESET测试怎能不支持?

问下,AMS需不需要关闭
是不是入库了的AMS都会杀掉,这样就无法测试了
屁颠屁颠
发表于 2016-10-28 19:08:13 | 显示全部楼层
快更
星云劫
发表于 2016-10-28 19:11:07 | 显示全部楼层
等更新中。等会儿回来看。辛苦了。
lipi000
发表于 2016-10-28 19:12:15 | 显示全部楼层
板凳子围观
fireherman
发表于 2016-10-28 19:16:14 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-28 19:22 编辑
windows7爱好者 发表于 2016-10-28 19:07
问下,AMS需不需要关闭
是不是入库了的AMS都会杀掉,这样就无法测试了




怎么说呢,我个人觉得:AMS是一个很特殊的主防,他以HIPS为基础,结合自身的杀毒引擎(病毒库,特征库)来进行防护。

如果单纯为了测试10的防勒索……其实我都不知道应不应该关。

不关的话,入库了就一定杀你。

关闭的话,相当于纯(官方内部)HIPS防御。

而就【默认】而言,AMS是开的,但又和病毒库息息相关……

我母鸡啊……问@驭龙  和 @qftest  

聆听落雨
发表于 2016-10-28 19:31:39 | 显示全部楼层
不错,支持一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-19 03:55 , Processed in 0.123026 second(s), 10 queries , MemCache On.

快速回复 返回顶部 返回列表