楼主: fakeviolation
收起左侧

[交流探讨] 用虚拟机试了局域网传染的WannaCry勒索软件

[复制链接]
fakeviolation
 楼主| 发表于 2017-6-11 18:45:30 | 显示全部楼层
ccboxes 发表于 2017-6-11 18:42
你都看过我的帖子了,完全没区别的。Exploit下载病毒到ProgramData,管理员权限执行,接着就没有后续了。

局域网感染时,用户态的系统进程被内核中的DoublePulsar后门注入,然后才产生最初的病毒进程。也许这有可能带来不同的结果(比如,主防规则无脑把系统进程拉白的话……)。
ccboxes
发表于 2017-6-11 19:05:39 | 显示全部楼层
fakeviolation 发表于 2017-6-11 18:45
局域网感染时,用户态的系统进程被内核中的DoublePulsar后门注入,然后才产生最初的病毒进程。也许这有可 ...

就算无脑把系统进程拉白,也不可能有问题,因为理论上所有程序都是由系统进程拉起来的啊,没有主防会让它继承父进程信誉的。

只要不直接注入系统进程来完成动作,就全程在主防的监控之下。
ccboxes
发表于 2017-6-11 19:08:54 | 显示全部楼层
fakeviolation 发表于 2017-6-11 18:45
局域网感染时,用户态的系统进程被内核中的DoublePulsar后门注入,然后才产生最初的病毒进程。也许这有可 ...

更进一步的完全体是UWIX,目前我还没有样本,不知道你看过报告没有,无进程、无文件,利用系统进程完成加密操作。这个实际上主防是无能为力的,只有实时内存扫描与漏洞缓解能防。

fakeviolation
 楼主| 发表于 2017-6-11 19:25:29 | 显示全部楼层
本帖最后由 fakeviolation 于 2017-6-11 19:28 编辑
ccboxes 发表于 2017-6-11 19:05
就算无脑把系统进程拉白,也不可能有问题,因为理论上所有程序都是由系统进程拉起来的啊,没有主防会让它 ...

同为系统进程,主防也是要区别对待的吧。
比如lsass.exe,和services.exe、svchost.exe,受到的待遇肯定不一样。services.msc负责启动服务,svchost.exe是服务进程的宿主,已经有无数恶意软件伪装成正常服务的dll来逃避检测(svchost.exe不止加载系统dll,例外应该很多,比如迅雷的dll)——主防肯定要盯死这俩进程,因为它们太容易被利用了。但lsass.exe在正常情况下可能压根不会产生子进程,主防也许就会对它疏于防范。DoublePulsar作为内核后门,就可能利用插APC的方法,借lsass.exe的壳干坏事,利用主防的疏忽逃过监视。
ccboxes
发表于 2017-6-11 19:34:15 | 显示全部楼层
本帖最后由 ccboxes 于 2017-6-11 19:36 编辑
fakeviolation 发表于 2017-6-11 19:25
同为系统进程,主防也是要区别对待的吧。
比如lsass.exe,和services.exe、svchost.exe,受到的待遇肯定 ...

你是不是搞错了什么。。。。。。。

插APC自然不好防,但我们讨论的WannaCry的行为是注入lsass.exe后下载病毒程序文件到ProgramData执行啊,然后这个Shellcode就没后续了,废弃了。接下来就跟系统进程没有关系了。

病毒本体的行为完全就是传统勒索,也没有注入系统进程。就是一自解密“压缩文件”,启动后自释放三个子程序完成各自任务。

所以对于这个病毒来说测试不需要复现入侵的情景,因为入侵归入侵,加密归加密,完全是组装货。
至于主防,我说过了,没有主防的编写者会蠢到让子进程继承父进程信任,倒是希望你能找到一个这样做的安软让我开开眼。。。。。。。。。。
fakeviolation
 楼主| 发表于 2017-6-11 21:08:45 | 显示全部楼层
ccboxes 发表于 2017-6-11 19:34
你是不是搞错了什么。。。。。。。

插APC自然不好防,但我们讨论的WannaCry的行为是注入lsass.exe后下 ...

如果怀疑主防对lsass.exe的信任被继承到了病毒进程上,这种继承确实不合理。我刚刚在这块确实有点含糊,现在认同你的说法。
况且我也重复出成功防御的情况了,那说明卡巴的主防应该有能力把它识别出来。
但是……我也的确多次重复出了主防miss的结果,现在我也不知道该怎么解释……也许是概率性的Bug吧。
下面贴出防护失败时的Log,你也看看,我再想别的办法来实验:
11.06.2017 18.35.31        恶意程序已删除        not-a-virus:PDM:RiskTool.Win32.DelShad.rab        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:35
11.06.2017 18.34.47        应用程序已添加至组受信任组        Kaspersky Anti-Virus        应用程序: Kaspersky Anti-Virus        原因: KSN 信息        应用程序路径: c:\program files (x86)\kaspersky lab\kaspersky internet security 17.0.0\avpuimain.dll        时间: 2017/6/11 18:34
11.06.2017 18.34.47        应用程序已添加至组受信任组        Kaspersky Anti-Virus        应用程序: Kaspersky Anti-Virus        原因: 数字签名分析        应用程序路径: c:\program files (x86)\kaspersky lab\kaspersky internet security 17.0.0\avpuimain.dll        时间: 2017/6/11 18:34
11.06.2017 18.34.47        检测到恶意程序        not-a-virus:PDM:RiskTool.Win32.DelShad.rab        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.42        恶意程序已删除        PDM:Trojan.Win32.Generic        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.29        检测到恶意程序        PDM:Trojan.Win32.Generic        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.24        恶意程序已删除        PDM:Trojan.Win32.Generic        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.16        应用程序已添加至组受信任组        Registry Console Tool        应用程序: Registry Console Tool        原因: KSN 信息        应用程序路径: C:\Windows\SysWOW64\reg.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.16        应用程序已添加至组受信任组        Registry Console Tool        应用程序: Registry Console Tool        原因: KSN 信息        应用程序路径: c:\windows\system32\reg.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.16        应用程序已添加至组低限制组        waitfor - wait/send a signal over a network        应用程序: waitfor - wait/send a signal over a network        原因: 根据计算评级        应用程序路径: C:\ProgramData\yyibsxxiapw107\taskse.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.14        应用程序已添加至组受信任组        WMI Commandline Utility        应用程序: WMI Commandline Utility        原因: 数字签名分析        应用程序路径: C:\Windows\SysWOW64\wbem\WMIC.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        检测到恶意程序        PDM:Trojan.Win32.Generic        应用程序名称: Load PerfMon Counters        应用程序路径: c:\programdata\yyibsxxiapw107\@wanadecryptor@.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: 数字签名分析        应用程序路径: C:\Windows\SysWOW64\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: 数字签名分析        应用程序路径: c:\windows\system32\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: KSN 信息        应用程序路径: c:\windows\system32\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: KSN 信息        应用程序路径: c:\windows\system32\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: 数字签名分析        应用程序路径: c:\windows\system32\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.34.02        应用程序已添加至组受信任组        Command Line Interface for Microsoft® Volume Shadow Copy Service        应用程序: Command Line Interface for Microsoft® Volume Shadow Copy Service        原因: 数字签名分析        应用程序路径: c:\windows\system32\vssadmin.exe        时间: 2017/6/11 18:34
11.06.2017 18.33.54        应用程序已添加至组低限制组        C:\ProgramData\yyibsxxiapw107\TaskData\Tor\taskhsvc.exe        应用程序: C:\ProgramData\yyibsxxiapw107\TaskData\Tor\taskhsvc.exe        原因: 根据计算评级        应用程序路径: C:\ProgramData\yyibsxxiapw107\TaskData\Tor\taskhsvc.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.52        应用程序已添加至组低限制组        Load PerfMon Counters        应用程序: Load PerfMon Counters        原因: 根据计算评级        应用程序路径: C:\ProgramData\yyibsxxiapw107\@WanaDecryptor@.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.47        应用程序已添加至组受信任组        c:\programdata\yyibsxxiapw107\m.vbs        应用程序: c:\programdata\yyibsxxiapw107\m.vbs        原因: 数字签名分析        应用程序路径: c:\programdata\yyibsxxiapw107\m.vbs        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组低限制组        c:\programdata\yyibsxxiapw107\m.vbs        应用程序: c:\programdata\yyibsxxiapw107\m.vbs        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\m.vbs        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组受信任组        Microsoft Windows Search Filter Host        应用程序: Microsoft Windows Search Filter Host        原因: KSN 信息        应用程序路径: C:\Windows\System32\SearchFilterHost.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组受信任组        Microsoft Windows Search Protocol Host        应用程序: Microsoft Windows Search Protocol Host        原因: KSN 信息        应用程序路径: C:\Windows\System32\SearchProtocolHost.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组受信任组        c:\programdata\yyibsxxiapw107\80211497177226.bat        应用程序: c:\programdata\yyibsxxiapw107\80211497177226.bat        原因: KSN 信息        应用程序路径: c:\programdata\yyibsxxiapw107\80211497177226.bat        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组低限制组        c:\programdata\yyibsxxiapw107\80211497177226.bat        应用程序: c:\programdata\yyibsxxiapw107\80211497177226.bat        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\80211497177226.bat        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组低限制组        SQL Client Configuration Utility EXE        应用程序: SQL Client Configuration Utility EXE        原因: 根据计算评级        应用程序路径: C:\ProgramData\yyibsxxiapw107\taskdl.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.45        应用程序已添加至组受信任组        Console Window Host        应用程序: Console Window Host        原因: KSN 信息        应用程序路径: C:\Windows\System32\conhost.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.45        应用程序已添加至组受信任组        Microsoft® Windows® Operating System        应用程序: Microsoft® Windows® Operating System        原因: KSN 信息        应用程序路径: C:\Windows\SysWOW64\icacls.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.45        应用程序已添加至组受信任组        Attribute Utility        应用程序: Attribute Utility        原因: 数字签名分析        应用程序路径: C:\Windows\SysWOW64\attrib.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.42        应用程序已添加至组受信任组        DiskPart        应用程序: DiskPart        原因: KSN 信息        应用程序路径: c:\programdata\yyibsxxiapw107\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.42        应用程序已添加至组低限制组        DiskPart        应用程序: DiskPart        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.40        应用程序已添加至组低限制组        DiskPart        应用程序: DiskPart        原因: 根据计算评级        应用程序路径: C:\Windows\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.36        应用程序已添加至组低限制组        Microsoft® Disk Defragmenter        应用程序: Microsoft® Disk Defragmenter        原因: 根据计算评级        应用程序路径: C:\Windows\mssecsvc.exe        时间: 2017/6/11 18:33
11.06.2017 18.30.39        应用程序已添加至组受信任组        WMI Provider Host        应用程序: WMI Provider Host        原因: KSN 信息        应用程序路径: C:\Windows\SysWOW64\wbem\WmiPrvSE.exe        时间: 2017/6/11 18:30
11.06.2017 18.26.24        应用程序已添加至组受信任组        Windows Problem Reporting        应用程序: Windows Problem Reporting        原因: KSN 信息        应用程序路径: C:\Windows\System32\wermgr.exe        时间: 2017/6/11 18:26
11.06.2017 18.22.24        应用程序已添加至组受信任组        Windows Media Player Network Sharing Service        应用程序: Windows Media Player Network Sharing Service        原因: KSN 信息        应用程序路径: C:\Program Files\Windows Media Player\wmpnetwk.exe        时间: 2017/6/11 18:22
11.06.2017 18.22.24        应用程序已添加至组受信任组        Windows Media Player Network Sharing Service Configuration Application        应用程序: Windows Media Player Network Sharing Service Configuration Application        原因: KSN 信息        应用程序路径: C:\Program Files\Windows Media Player\wmpnscfg.exe        时间: 2017/6/11 18:22
11.06.2017 18.22.23        应用程序已添加至组受信任组        Consent UI for administrative applications        应用程序: Consent UI for administrative applications        原因: 数字签名分析        应用程序路径: C:\Windows\System32\consent.exe        时间: 2017/6/11 18:22
11.06.2017 18.22.19        应用程序已添加至组受信任组        COM Surrogate        应用程序: COM Surrogate        原因: KSN 信息        应用程序路径: C:\Windows\System32\dllhost.exe        时间: 2017/6/11 18:22
11.06.2017 18.21.44        应用程序已添加至组受信任组        COM Surrogate        应用程序: COM Surrogate        原因: KSN 信息        应用程序路径: C:\Windows\SysWOW64\dllhost.exe        时间: 2017/6/11 18:21
11.06.2017 18.21.43        应用程序已添加至组受信任组        Microsoft Sync Center        应用程序: Microsoft Sync Center        原因: 数字签名分析        应用程序路径: C:\Windows\System32\mobsync.exe        时间: 2017/6/11 18:21
11.06.2017 18.21.27        应用程序已添加至组受信任组        WMI x64 Helper        应用程序: WMI x64 Helper        原因: 数字签名分析        应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\x64\wmi64.exe        时间: 2017/6/11 18:21
11.06.2017 18.20.40        应用程序已添加至组受信任组        Kaspersky Upgrade Launcher        应用程序: Kaspersky Upgrade Launcher        原因: 数字签名分析        应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\upgrade_launcher.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.40        应用程序已添加至组受信任组        Windows® installer        应用程序: Windows® installer        原因: KSN 信息        应用程序路径: C:\Windows\System32\msiexec.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.40        应用程序已添加至组受信任组        WMI Provider Host        应用程序: WMI Provider Host        原因: KSN 信息        应用程序路径: C:\Windows\System32\wbem\WmiPrvSE.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.40        应用程序已添加至组受信任组        Windows Audio Device Graph Isolation        应用程序: Windows Audio Device Graph Isolation        原因: KSN 信息        应用程序路径: C:\Windows\System32\audiodg.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Microsoft Software Protection Platform Service        应用程序: Microsoft Software Protection Platform Service        原因: 数字签名分析        应用程序路径: C:\Windows\System32\sppsvc.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        .NET Runtime Optimization Service        应用程序: .NET Runtime Optimization Service        原因: 数字签名分析        应用程序路径: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        .NET Runtime Optimization Service        应用程序: .NET Runtime Optimization Service        原因: 数字签名分析        应用程序路径: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Kaspersky Anti-Virus        应用程序: Kaspersky Anti-Virus        原因: 数字签名分析        应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Kaspersky Anti-Virus        应用程序: Kaspersky Anti-Virus        原因: 数字签名分析        应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Windows Explorer        应用程序: Windows Explorer        原因: 数字签名分析        应用程序路径: C:\Windows\explorer.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Desktop Window Manager        应用程序: Desktop Window Manager        原因: 数字签名分析        应用程序路径: C:\Windows\System32\dwm.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Host Process for Windows Tasks        应用程序: Host Process for Windows Tasks        原因: 数字签名分析        应用程序路径: C:\Windows\System32\taskhost.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Spooler SubSystem App        应用程序: Spooler SubSystem App        原因: 数字签名分析        应用程序路径: C:\Windows\System32\spoolsv.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.39        应用程序已添加至组受信任组        Microsoft Windows Search Indexer        应用程序: Microsoft Windows Search Indexer        原因: 数字签名分析        应用程序路径: C:\Windows\System32\SearchIndexer.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        启动任务        网页反病毒        时间: 2017/6/11 18:20
11.06.2017 18.20.38        启动任务        系统监控        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Local Session Manager Service        应用程序: Local Session Manager Service        原因: 数字签名分析        应用程序路径: C:\Windows\System32\lsm.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        启动任务        即时通讯反病毒        时间: 2017/6/11 18:20
11.06.2017 18.20.38        启动任务        邮件反病毒        时间: 2017/6/11 18:20
11.06.2017 18.20.38        启动任务        反网络攻击        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Local Security Authority Process        应用程序: Local Security Authority Process        原因: 数字签名分析        应用程序路径: C:\Windows\System32\lsass.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Services and Controller app        应用程序: Services and Controller app        原因: KSN 信息        应用程序路径: C:\Windows\System32\services.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Windows Logon Application        应用程序: Windows Logon Application        原因: 数字签名分析        应用程序路径: C:\Windows\System32\winlogon.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Client Server Runtime Process        应用程序: Client Server Runtime Process        原因: KSN 信息        应用程序路径: C:\Windows\System32\csrss.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Windows Start-Up Application        应用程序: Windows Start-Up Application        原因: KSN 信息        应用程序路径: C:\Windows\System32\wininit.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Windows Session Manager        应用程序: Windows Session Manager        原因: 数字签名分析        应用程序路径: C:\Windows\System32\smss.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.38        应用程序已添加至组受信任组        Host Process for Windows Services        应用程序: Host Process for Windows Services        原因: KSN 信息        应用程序路径: C:\Windows\System32\svchost.exe        时间: 2017/6/11 18:20
11.06.2017 18.20.36        启动任务        文件反病毒        时间: 2017/6/11 18:20
11.06.2017 18.20.36        启动任务        应用程序控制        时间: 2017/6/11 18:20
11.06.2017 18.20.36        启动任务        防火墙        时间: 2017/6/11 18:20
ccboxes
发表于 2017-6-11 21:22:45 | 显示全部楼层
fakeviolation 发表于 2017-6-11 21:08
如果怀疑主防对lsass.exe的信任被继承到了病毒进程上,这种继承确实不合理。我刚刚在这块确实有点含糊, ...

也就是说,你断网锁库测试,同样的虚拟机快照,有时候触发回滚完美防御,有时候像主帖里那样无法防御?

真是迷之问题,你在安装卡巴后重启过虚拟机吗?
ccboxes
发表于 2017-6-11 21:43:16 | 显示全部楼层
本帖最后由 ccboxes 于 2017-6-11 21:47 编辑
fakeviolation 发表于 2017-6-11 21:08
如果怀疑主防对lsass.exe的信任被继承到了病毒进程上,这种继承确实不合理。我刚刚在这块确实有点含糊, ...

仅仅从Log看,问题应该从这里开始。请注意Log是时间倒序的,应该从下往上看。
11.06.2017 18.33.42        应用程序已添加至组受信任组        DiskPart        应用程序: DiskPart        原因: KSN 信息        应用程序路径: c:\programdata\yyibsxxiapw107\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.42        应用程序已添加至组低限制组        DiskPart        应用程序: DiskPart        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.40        应用程序已添加至组低限制组        DiskPart        应用程序: DiskPart        原因: 根据计算评级        应用程序路径: C:\Windows\tasksche.exe        时间: 2017/6/11 18:33
11.06.2017 18.33.36        应用程序已添加至组低限制组        Microsoft® Disk Defragmenter        应用程序: Microsoft® Disk Defragmenter        原因: 根据计算评级        应用程序路径: C:\Windows\mssecsvc.exe        时间: 2017/6/11 18:33


此时应该已经入侵并下载本体mssecsvc.exe成功,卡巴也把它分到了低限制组,没有信任。问题出在衍生物tasksche.exe上,首先其“根据计算评级”被分入低限制组,但又突然根据“KSN 信息”将其分入受信任组,这个时候应该是断网的,哪来的KSN信息?如果处于联网状态,必然触发KSN的黑名单直接击杀。接下来的几个衍生物也出现了相似的情况。
11.06.2017 18.33.46        应用程序已添加至组受信任组        c:\programdata\yyibsxxiapw107\80211497177226.bat        应用程序: c:\programdata\yyibsxxiapw107\80211497177226.bat        原因: KSN 信息        应用程序路径: c:\programdata\yyibsxxiapw107\80211497177226.bat        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组低限制组        c:\programdata\yyibsxxiapw107\80211497177226.bat        应用程序: c:\programdata\yyibsxxiapw107\80211497177226.bat        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\80211497177226.bat        时间: 2017/6/11 18:33


下面这个就更离谱了,病毒的文件,还是vbs,哪里来的数字签名?
11.06.2017 18.33.47        应用程序已添加至组受信任组        c:\programdata\yyibsxxiapw107\m.vbs        应用程序: c:\programdata\yyibsxxiapw107\m.vbs        原因: 数字签名分析        应用程序路径: c:\programdata\yyibsxxiapw107\m.vbs        时间: 2017/6/11 18:33
11.06.2017 18.33.46        应用程序已添加至组低限制组        c:\programdata\yyibsxxiapw107\m.vbs        应用程序: c:\programdata\yyibsxxiapw107\m.vbs        原因: 根据计算评级        应用程序路径: c:\programdata\yyibsxxiapw107\m.vbs        时间: 2017/6/11 18:33



我觉得可能是611 D版本的BUG,在断网下几率性错判信任。



评分

参与人数 1人气 +1 收起 理由
dongwenqi + 1 感谢解答: )

查看全部评分

fakeviolation
 楼主| 发表于 2017-6-11 22:16:10 | 显示全部楼层
ccboxes 发表于 2017-6-11 21:22
也就是说,你断网锁库测试,同样的虚拟机快照,有时候触发回滚完美防御,有时候像主帖里那样无法防御?
...

的确装完没重启……
刚刚又试了一次,重启了虚拟机,然后也可以重现出防御失败的结果。
似乎被传染机开着Procmon的时候就会出现防御成功的结果,否则大多数都是防御失败,少数几次是防御成功。
就算是防御成功的时候,我点了几次不重启清除,然后发现mssecsvc.exe还在跑着,C:\Windows\mssecsvc.exe也仍然存在。
fakeviolation
 楼主| 发表于 2017-6-11 22:20:10 | 显示全部楼层
ccboxes 发表于 2017-6-11 21:43
仅仅从Log看,问题应该从这里开始。请注意Log是时间倒序的,应该从下往上看。

我觉得也许不是错判信任,可能是多线程同步之类的问题……
KSN是我安装时勾选了的,估计只有卡巴的开发人员才知道为啥断了网日志里还有KSN的信息。那个vbs我也没看,说不定真的有签名——可能是无效的签名?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:52 , Processed in 0.106761 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表