comodo cis autosandbox vs wannacry(by remote expoit 445 port)

wwwlee100

只开启沙箱，自动沙箱模式。
hips 主防 防火墙其他防御均关闭
可以成功对抗wanna cry的局域网传播 。
局域网 广域网传播方式为
通过发包给srv.sys  apc注入只有一个导出
函数的dll 给lsass.exe  这个dll运行在
lsass.exe的内存空间当中 然后由lsass.exe作为
可信的系统进程父进程去直接运行wanna cry母体。
但是自动沙箱模式会直接让母体病毒运行在沙箱中。
http://v.youku.com/v_show/id_XMjc3MDM5MDc5Ng==.html?spm=a2h3j.8428770.3416059.1
优酷上传的视频不清晰  清晰版本视频下载地址  http://pan.baidu.com/s/1kUVRpER
另外 Comodo官方的热心用户反馈群 642182740  请大家加群的时候备注一下来自卡饭。如您要入群，请务必具备有常见的vmware虚拟机等安全软件的使用能力，如果没有，也希望
您能具备相应的兴趣和学习能力。

wwwlee100

优酷上传的视频不清晰  清晰版本视频下载地址  http://pan.baidu.com/s/1kUVRpER

ccboxes

http://bbs.kafan.cn/thread-2089170-1-1.html
我早就说过了，这次是狗尾续貂，能拦下没什么好稀奇的。

wwwlee100

什么叫狗尾续貂 你知道 为什么作者注入lsass.exe 的那个只有一个导出函数的dll 模块 要去直接起一个exe  
而不是把exe的功能全都在注入lsass.exe的dll里面实现 ，  这个都不清楚 说什么狗尾续貂。
勒索软件这样做是有便利性和通用性的考量的。
就比方说恶意软件基本都是要ring0 驱动注入ring3进程 注入一个dll或者shellcode
既然都在ring0了 还往ring3上写什么代码  这是有便利性和通用性上的考量的  
比方说bootkit  tdl4 bmw 等等 功能模块全都必须是驱动注入到ring3 在ring3实现的
按照你的思维 都能在ring0了  还在ring3写什么代码
楼主感兴趣 好好把麦咖啡的这篇分析看完 这也是目前为止 最为详尽的一篇分析 详尽的从exp srv.sys到
ring3 可信系统父进程起恶意进程。
https://securingtomorrow.mcafee. ... annacry-ransomware/

wwwlee100

这么说吧 如果所有的勒索软件的功能都在注入的lsass.exe里面的那个dll 里面实现 没有一个杀毒软件可以拦的下来，
因为漏洞和杀毒软件从生下来那一天就不是在一个起跑线上的。
但是同时 这基本是不可能的。因为这样做就意味着，你要完整的把勒索软件的功能写成一坨shellcode(基本不可能)，或者写成一坨可以内存加载的dll (这就意味着你不可以用各种复杂的第三方的库)   (MEM LOAD DLL) 光导入表的处理 crash 处理 crash 就可以让你吐血3大桶。
作者之所以选择去起一个exe是折中的考虑，因为勒索软件功能比较复杂，甚至可能用到一些三方库，pe loader的这种活还是得靠windows自己的机制去把PE load起来。但是同时考虑到还有lsass.exe这种可信的父进程去做掩护，这是一种很方便也是很折中的方法。一般注入恶意代码要么注入的是内存加载的dll要么是shellcode 之所以是这两种 是因为这两种注入方式目标进程加载的模块列表里面 如使用process explorer  /pchunter去枚举进程中的模块式看不到恶意模块的。
一些安软在驱动注入的时候会使用loadlibrary或者ldrloaddll  对于正规软件来说 这种可以dll功能写的很复杂  并且不需要自己处理导入表，但是对于恶意代码来说坏处就是目标进程很容易就枚举到恶意代码的模块 如简单通过process explorer  /pchunter 等工具，恶意代码一般是不会用这种方式的。

zongk

wwwlee100 发表于 2017-5-17 23:24
什么叫狗尾续貂 你知道 为什么作者注入lsass.exe 的那个只有一个导出函数的dll 模块 要去直接起一个exe  
...

就是就是，义正言辞的一般都是那种，真正的高手都比较和善
敢问小哥你用的什么杀软啊，comodo墙搭配别的了没

wwwlee100

反观那些被动 靠升级病毒库的才能拦截下来的安软  才是应该反思和提升自己的。

wwwlee100

zongk 发表于 2017-5-17 23:39
就是就是，义正言辞的一般都是那种，真正的高手都比较和善
敢问小哥你用的什么杀软啊，comodo墙搭配别的 ...

CCAV 开自动沙盒  把几个敏感路径加到强制入沙的目录那里比方说C:\users 等等。

wwwlee100

另外 Comodo官方的热心用户反馈群 642182740  请大家加群的时候备注一下来自卡饭。如您要入群，请务必具备有常见的vmware虚拟机等安全软件的使用能力，如果没有，也希望
您能具备相应的兴趣和学习能力。

zongk

ccboxes 发表于 2017-5-17 23:08
http://bbs.kafan.cn/thread-2089170-1-1.html
我早就说过了，这次是狗尾续貂，能拦下没什么好稀奇的。

请你不要再造谣了好吗？说话要切切实实拿出证据，比如comodo官方说明之类
在论坛发言请不要带自己的感情，你发个帖说了多少废话，肯定不是学法律的