楼主: 墨家小子
收起左侧

[求助] 进入containment里的程序还能进行键盘记录、截屏、剪切板记录、录制声音……

[复制链接]
墨家小子
 楼主| 发表于 2017-6-2 11:01:09 | 显示全部楼层
Candygu 发表于 2017-6-2 08:33
Win 10 32位系统下:9个当中,有8个运行都是这个结果,另一个运行一会儿之后就自动退出了。

第二个,貌似再沙盘里还会记录键盘输入


************************************************

Comodo和SSF设置分别如下:






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-6-2 11:12:59 | 显示全部楼层
Candygu 发表于 2017-6-1 16:06
墨大,能否给样本,我试试。

第五个,在沙盘里简直就是一条龙服务,最后联网跑到马来西亚的一个IP去了。之前用毛豆的hips测试这个样本,并没有拦截到前两项行为










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2017-6-2 12:03:58 | 显示全部楼层
本帖最后由 墨家小子 于 2017-6-2 12:08 编辑
Candygu 发表于 2017-6-1 16:06
墨大,能否给样本,我试试。

这个样本在沙盘里还是会开启摄像头的(http://bbs.kafan.cn/thread-1960941-1-1.html
毛豆没有摄像头防护,会不会泄露?


http://bbs.kafan.cn/thread-1871795-1-1.html



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Candygu
发表于 2017-6-2 14:12:28 | 显示全部楼层
墨家小子 发表于 2017-6-2 11:12
第五个,在沙盘里简直就是一条龙服务,最后联网跑到马来西亚的一个IP去了。之前用毛豆的hips测试这个样本 ...

虚拟机装了win7重新测了一下第5个。
1、沙盒开启,关闭HIPS,并默认位全部虚拟化,只有最后Firewall报联网。
2、沙盒开启,关闭HIPS,设置级别为Partially Limited,样本入沙后进程崩溃。
3、关闭沙盒,开启HIPS,有拦截到Direct Keyboard Access,截图和日志:
2017-06-02 14:03:53         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:02:58         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Create Process         C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe
2017-06-02 14:02:44         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Direct Keyboard Access         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe
2017-06-02 14:02:44         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:02:42         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Create Process         C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe
2017-06-02 14:02:21         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKUS\S-1-5-21-2564367185-2125918348-3311631389-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
2017-06-02 14:02:18         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Direct Keyboard Access         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe
2017-06-02 14:01:52         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKUS\S-1-5-21-2564367185-2125918348-3311631389-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
2017-06-02 14:01:52         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:01:47         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Access COM Interface         C:\Windows\System32\svchost.exe
2017-06-02 14:01:38         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Access COM Interface         {8BC3F05E-D86B-11D0-A075-00C04FB68820}
2017-06-02 14:01:38         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:01:33         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify File         \Device\Nsi
2017-06-02 14:01:33         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\services\Tcpip
2017-06-02 14:01:25         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:01:22         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\services\Tcpip
2017-06-02 14:01:07         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify Key         HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
2017-06-02 14:01:04         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Modify File         \Device\Afd\Endpoint
2017-06-02 14:01:00         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe         Create Process         C:\Users\Administrator\Desktop\Compressed\973d6b7bad037a6eaa5685c1e041f1747e93c81eb1acd78014c42a1019add577.bin.exe

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Candygu
发表于 2017-6-2 14:28:46 | 显示全部楼层
记得是在6还是8版本发布的时候,官方解释了拦截沙盒入沙程序记录键盘、截屏等操作的处理方式,说的是如果一个程序是由用户主动运行的,那么就不会拦截,但是如果程序是后台悄悄静默运行的,才会拦截这类动作。
墨家小子
 楼主| 发表于 2017-6-2 15:29:27 | 显示全部楼层
Candygu 发表于 2017-6-2 14:28
记得是在6还是8版本发布的时候,官方解释了拦截沙盒入沙程序记录键盘、截屏等操作的处理方式,说的是如果一 ...

你的意思是出现这种情况下:木马进到本地要是有截屏、键盘记录等信息盗取的行为,毛豆的沙盘会拦截。但如果这个木马在沙盘内注入系统进程,然后这个傀儡系统进程再进行信息盗取,毛豆的沙盘会不会拦截注入(下面的测试发现毛豆并不会在沙盘中拦截样本注入explorer)或者拦截信息盗取?
再有,剪切板和摄像头、声音录制,毛豆可以拦截吗?

示例http://bbs.kafan.cn/thread-1936774-1-1.html







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
羽扇纶巾
发表于 2017-6-2 15:35:37 | 显示全部楼层
记得曾有豆油求助,输入法在毛豆的沙盘里敲不出字,QQ在毛豆的沙盘里无法截屏。沙盘程序要联网也很正常。还是信任毛豆。
墨家小子
 楼主| 发表于 2017-6-2 15:49:05 | 显示全部楼层
羽扇纶巾 发表于 2017-6-2 15:35
记得曾有豆油求助,输入法在毛豆的沙盘里敲不出字,QQ在毛豆的沙盘里无法截屏。沙盘程序要联网也很正常。还 ...

http://bbs.kafan.cn/thread-1687701-1-1.html
你试试 11111.rar (185.86 KB, 下载次数: 614)
貌似在沙盘里注入svchost是无效的
导演AZ
发表于 2017-6-2 15:52:57 | 显示全部楼层
墨家小子 发表于 2017-6-2 15:29
你的意思是出现这种情况下:木马进到本地要是有截屏、键盘记录等信息盗取的行为,毛豆的沙盘会拦截。但如 ...

你这16L的 被感染的explorer执行scvhost修改这个注册表
这个注册表是管啥的   
应该是网络连接的设置   但是具体是干啥的  求解答
墨家小子
 楼主| 发表于 2017-6-2 15:54:55 | 显示全部楼层
导演AZ 发表于 2017-6-2 15:52
你这16L的 被感染的explorer执行scvhost修改这个注册表
这个注册表是管啥的   
应该是网络连接的设置   ...

在沙盘里修改注册表都无效的,不用关注
重点在那个被注入的explorer,它要是乱来,谁能管住它
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:02 , Processed in 0.094321 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表