本帖最后由 墨家小子 于 2015-11-27 14:15 编辑
这个DG除了最常见的云拉黑就是各种各样的行为定义了(是这样吧?)
如果把拉黑的样本修改MD5,DG再次拦截就会看到行为定义
样本:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
没修改MD5,DG直接显示的是云拉黑,就是那个online什么什么的
修改MD5再次测试,见图:
再来一个:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
这个就一点反应都没有:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
SHA256: 3b4c4e7e599c8faed34438e06463df0d31c7afc585a1d3c2de372a30a71d8195
File name: 3b4c4e7e599c8faed34438e06463df0d31c7afc585a1d3c2de372a30a71d8195.exe
Detection ratio: 19 / 55
Analysis date: 2015-11-27 05:34:05 UTC ( 0 minutes ago )
再来一个修改MD5就哑火的样本:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
SSF拦截记录:
2015/11/27 13:43:03,C:\Users\eeeee\Desktop
\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852
e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,41,Blocked ;修改受保护的文件 (C:\Windows
\kernel32.dll)
2015/11/27 13:43:07,C:\Users\eeeee\Desktop
\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852
e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,26,Blocked ;修改受保护的注册表键 (HKCU
\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)
2015/11/27 13:43:12,C:\Users\eeeee\Desktop
\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852
e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,47,Allowed ;创建交换数据流 (C:\Users\eeeee
\AppData\Roaming\VFFiWwxx\rtcamu64.exe:Zone.Identifier)
2015/11/27 13:43:16,C:\Users\eeeee\Desktop
\10745182ac1b738e4a363166f650069d16b81873b3bbb1990e7d07cb652495e8\c1e797e156e12ace6d852
e51d0b8aefef9c539502461efd8db563a722569e0d2.exe,53,Allowed ;执行应用程序 (C:\Users\eeeee
\AppData\Roaming\VFFiWwxx\rtcamu64.exe C:\Users\eeeee\Desktop\107451~1\C1E797~1.EXE)
2015/11/27 13:43:53,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,41,Blocked ;修改受保
护的文件 (C:\Windows\kernel32.dll)
2015/11/27 13:43:55,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,26,Blocked ;修改受保
护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)
2015/11/27 13:43:59,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,41,Blocked ;修改受保
护的文件 (C:\Windows\Tasks\VFFiWwxx.job)
2015/11/27 13:44:02,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,26,Blocked ;修改受保
护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,rtcamu64.exe)
2015/11/27 13:44:05,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,50,Blocked ;使用 DNS
解析服务访问网络
2015/11/27 13:44:07,C:\Users\eeeee\AppData\Roaming\VFFiWwxx\rtcamu64.exe,48,Blocked ;出站网络
访问
根据DG的定义,这是传说中的加密勒索样本??
https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
再来一个DG没有反应的:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
SSF拦截到的,先搞系统防火墙,然后加启动,然后键盘记录,然后联网……
C:\Windows\SysWOW64\netsh.exe
参数: h firewall add allowedprogram "C:\Users\AAAA\AppData\Local\Temp\server.exe" "server.exe" ENABLE
修改受保护的注册表项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,e8ed5560f360ee6eba2c3f9ac99e3d58
类别: 自启动
记录键盘输入
通过DNS解析器服务接入网络
建立 出站 网络连接 (TCP)
远程地址=malak2015.myq-see.com(197.164.6.97) 远程端口=5552
最后再来一个DG完美拦截的:https://att.kafan.cn/forum.php?mo ... DkwNjM2MXwxODY0MDk3
|
发表于 2015-11-27 13:21:46
楼主
