comodo cis autosandbox vs wannacry(by remote expoit 445 port)

ccboxes

wwwlee100 发表于 2017-5-18 07:54
别吵了，都好好上学吧。

帖子被没素质的人带歪了，你要是有兴趣的话，可以单开一帖讲一讲，大家都是讨论嘛。麦咖啡的报告我看了，也在专注于分析Exploit，对于本体就讲了一下它的自加密（讲道理自加密应该是烂大街的手段了吧，很多安软的引擎脱这种壳轻松的很），而且跟我的说法一样，加密文档的Key是本地生成的，且保存在一个文件中，中招时只要及时断网，就可以提取出key，好歹放在内存里吧。真是疏漏很多，算不上啥，如果本体是Sage或者大名鼎鼎的Cerber之类的，还会难对付的多。

諾言敵不過時間

ccboxes 发表于 2017-5-18 09:18
哇，我跟他讨论与你什么关系？我的学历又与你什么关系？我只不过告诉他我是有能力看懂一些专业向的东西， ...

你不覺得回頭思考他的話都是再說他自己嗎？脾氣直難相處，動不動就…還是別和他較真了。
忽略就好，忽略。

wwwlee100

ccboxes 发表于 2017-5-18 09:20
帖子被没素质的人带歪了，你要是有兴趣的话，可以单开一帖讲一讲，大家都是讨论嘛。

我本来打算传个样本上来的，但是附件限制500KB。我描述一个现象 你思考一下为什么 就很容易理解 自动入沙auto sandbox的意义和作用了 这也是科家的特色   在我们分析的过程中 一个wannacry的样本 在一台测试机(没打补丁的win7 32位机器上) 开启了auto containment 模式wannacry 一直跑在沙箱里面  但是 我不小心把auto containment 关闭了 右键直接在沙箱运行 wannacry  这个时候 勒索病毒竟然把沙箱穿透了 。  你可以想想为什么 我先不公布答案。

zongk

ccboxes 发表于 2017-5-18 09:18
哇，我跟他讨论与你什么关系？我的学历又与你什么关系？我只不过告诉他我是有能力看懂一些专业向的东西， ...

这个号连带手机QQ我都不用了，别回了

ccboxes

wwwlee100 发表于 2017-5-18 09:49
我本来打算传个样本上来的，但是附件限制500KB。我描述一个现象 你思考一下为什么 就很容易理解 自动入沙 ...

我们似乎没在讨论沙盒吧？理清一下思路。

我也用过COMODO的沙盒，也知道能防住这次的WannaCry，现在我们讨论的问题是WannaCry到底为什么能造成爆发性的感染。是因为勒索本身水平高，还是别的？

我的答案是WannaCry就是普通的勒索，没有突出的地方，只不过与“永恒之蓝”结合才造成了这样的影响，相比发现并编写出Exploit的NSA，水平要逊色很多。所以给了狗尾续貂的评价。而你向我强调了DLL注入方式的难度和兼容性（这我是知道的），这不是正好说明作者水平不够吗？漏洞是别人挖的，Exploit是别人写的，自己写了勒索，密钥是本地生成，动作又这么大，你要说他水平高，啥依据呢？

至于你的问题，因为我这里连不上COMODO的云，我没有仔细研究过COMODO的沙盒。从我的样本看，被Exploit释放的母体是自加密的（这种加壳方式实在是烂大街了），执行后会解密生成三个子程序，完成不同的任务，但按理说被沙盒内程序释放的程序也应该被入沙。看来COMODO关闭自动入沙后就不会对后续任何程序做入沙，这是很大的缺陷啊，这种理所当然的规则不应该放给用户修改。

ccboxes

wwwlee100 发表于 2017-5-18 09:49
我本来打算传个样本上来的，但是附件限制500KB。我描述一个现象 你思考一下为什么 就很容易理解 自动入沙 ...

看这个
https://blog.trendmicro.com.tw/?p=49830

这就是我说的水平高的人会用的做法，无文件，无进程。但并不是无解，还有内存扫描可以防御。我的另一个回复不知道为啥在审核，你稍等一下吧。

B100D1E55

wwwlee100 发表于 2017-5-17 23:36
这么说吧 如果所有的勒索软件的功能都在注入的lsass.exe里面的那个dll 里面实现 没有一个杀毒软件可以拦的 ...

多谢解答，我前两天还在想这么做的原因

墨家小子

wwwlee100 发表于 2017-5-18 09:49
我本来打算传个样本上来的，但是附件限制500KB。我描述一个现象 你思考一下为什么 就很容易理解 自动入沙 ...

不公布答案气得我吃不下粽子啦

kfk

@wwwlee100
>我先不公布答案

大侠还不公布答案吗？
我是经常拿Comodo沙盒当工具用的（手动入沙）……