★★★★V6“完全虚拟化”的不安全性初探+v6之BB的特别注意（更新：结论篇）★★★★

darkwolf_99

sanhu35 发表于 2012-12-26 13:54
嗯 ，任务栏的窗口也会闪动，应该把QQ聊天的窗口关闭，让托盘显示离线或者完全隐藏。

以前是结束QQ，现 ...

你是坏银

darkwolf_99

a256886572008 发表于 2012-12-26 13:56
因為你給的圖，日誌居然有紀錄 IE的動作，好像 IE 被 BB 給入沙。

是的

IE没有强制入沙

应该是vbs入沙后，利用com接口，启动了IE，权限继承，IE也跟着入沙。只是漏了拦截com接口这步

a256886572008

darkwolf_99 发表于 2012-12-26 13:59
是的

IE没有强制入沙

我發現問題在哪了！

1.因為你的IE是被svchost.exe執行，而不是病毒，故可推論出2。

2.實際上不是因為權限繼承，IE才入沙，而是因為你把白名單檢測功能給關了，例如雲、信任廠商...之類。

3.因為IE和病毒同在沙盤內，病毒當然可以直接調用COM。

4.由3可得，允許無日誌。

5.根據1234這樣下來，我認為防火牆對於那個IE應該會彈窗的。(此時的IE被comodo當作未知程序)

6.以上的情況，不含任何 fully virtualized 相關動作。

darkwolf_99

如果你的假设成立，我把IE先加入信任文件，是不是就不应该有IE的那些拦截？如果你认为是这样，先把IE加入信任，BB和FW里都加，"完全虚拟化“的话，就是一个弹窗也没有，QQ号和密码便发送出去了　我测过的

bbbxyoiil

yeweiyutu 发表于 2012-12-25 19:41
原本以为开启未知程序自动入沙完全虚拟化同时可以设置入沙未知程序权限级别（这个在5.12版本总是入沙程序设 ...

SSF是什么，哥们

a256886572008

darkwolf_99 发表于 2012-12-26 15:05
如果你的假设成立，我把IE先加入信任文件，是不是就不应该有IE的那些拦截？如果你认为是这样，先把IE加入信 ...

1.auto virtualization 當然不行。
其他 level，應該是直接有那個 com 阻止的日誌。

2.如同31樓底下的測試，只要阻止訪問 com 的日誌有出現，那個 IE就不會連到.vbs裡面寫的 url。

darkwolf_99

a256886572008 发表于 2012-12-26 14:53
我發現問題在哪了！

1.因為你的IE是被svchost.exe執行，而不是病毒，故可推論出2。

又测试了几次，终于弄清楚是怎么一会事儿了


兄台的推论部分是正确的。但这个样本是利用vbs，由com接口创建IE进程，显示的都是由svchost创建，不会显示由样本创建。

详述如下，分两大部分

一、针对”partialy limited“和”Limited“两个级别

1.　如果IE已经在信任文件里，”partialy limited“和”Limited“可以拦截利用com接口

2.　如果IE没有在信任文件里，”partialy limited“和”Limited“不拦截利用com接口

结论：检测是”信任“的文件，还是要尽快加入信任文件列表；否则有被利用的危险　兄台也可以试试xp 32位下的情况


二、”完全虚拟化“级别

1.　如果IE已经在信任文件里，一个弹窗都没有，样本成功执行，v6被过


2.　如果IE不在信任文件里，只有FW的那个几乎无用的弹窗（对IE来说，对外联80端口，很正常，无从判断）

结论：”完全虚拟化“级别有安全漏洞，不建议使用

a256886572008

darkwolf_99 发表于 2012-12-26 15:37
又测试了几次，终于弄清楚是怎么一会事儿了

關於一，主要是看那個IE是否被入沙？沒入沙就沒問題。

正常情況，不應該被入沙。

----------
這隻目前只有兩個問題：

1. 默認，VK 下的防火牆

2.非默認，auto virtualization下的防火牆

yeweiyutu

bbbxyoiil 发表于 2012-12-26 15:13
SSF是什么，哥们

SpyShelter Firewall

darkwolf_99

a256886572008 发表于 2012-12-26 15:52
關於一，主要是看那個IE是否被入沙？沒入沙就沒問題。

正常情況，不應該被入沙。

我没有手动强制IE入沙。反正，只要IE没有在用户的信任列表里，v6就不会拦截这个com接口的利用，你可以试试


vk下没测过，有时间再试试吧。

“完全虚拟化”下，IE只要在用户信任列表里，就没有任何联网的弹窗，直接过