Detection ratio: 7 / 56 BD主防 Vs 神网注入渗透攻击结果败了还杀不到木马DLL

显示全部楼层 · 发表于 2016-3-21 20:47:18

rrorr 发表于 2016-3-21 18:20
mei国ss全局

我手上3个美国的SS服务器都没抓到，怎一个悲剧能说清楚

显示全部楼层 · 发表于 2016-3-21 21:28:50

qftest 发表于 2016-3-21 20:47
我手上3个美国的SS服务器都没抓到，怎一个悲剧能说清楚

才三个，我有五十多个都没有说粗来

显示全部楼层 · 发表于 2016-3-21 22:34:02

墨家小子发表于 2016-3-21 17:53
不能这么说，只不过BD太倚重ATC了，漏洞攻击防御好像弱了一点

这种开卡巴的程序控制，效果会不会比较好？

显示全部楼层 · 发表于 2016-3-21 23:03:50

破费尔
[mw_shl_code=css,true]2016-03-21 23:01:19, ProcessLoad was blocked for C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe. <- F:\test\tmpc533.exe(PID:8376)::F:\test\tmpc533.exe(TID:8380)
2016-03-21 23:01:20, Begin Rollback for C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe
2016-03-21 23:01:20, Rollback Terminate Process C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe(PID: 4384) succed(0x0)
2016-03-21 23:01:20, Rollback Terminate Process
2016-03-21 23:01:20, Rollback Terminate MainThread 4704 in process C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe(PID: 4384) succed(0x0)
2016-03-21 23:01:20, End Rollback for C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe
2016-03-21 23:01:20, 成功结束进程 C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe(PID: 4384)
2016-03-21 23:01:20, Begin Rollback for C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe
2016-03-21 23:01:20, Rollback to remove and quarantine dropped file C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe, quarantine succed.
2016-03-21 23:01:20, Rollback to remove file \Device\HarddiskVolume5\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe succed(0x0)
2016-03-21 23:01:20, Rollback to remove and quarantine dropped file C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe, quarantine failed.
2016-03-21 23:01:20, End Rollback for C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe
2016-03-21 23:01:20, 成功结束进程 C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe, 返回代码: 0
2016-03-21 23:01:20, 清除文件 C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe. 云鉴定: 未鉴定, (成功清除) 备份返回代码: 4, 清除返回代码: -1
2016-03-21 23:01:27, Rollback Terminate Process F:\test\tmpc533.exe(PID: 8376) succed(0x0)
2016-03-21 23:01:27, Begin Rollback for F:\test\tmpc533.exe
2016-03-21 23:01:27, Rollback Terminate Process
2016-03-21 23:01:27, Rollback Terminate NormalThread 8388 in process F:\test\tmpc533.exe(PID: 8376) succed(0x0)
2016-03-21 23:01:27, End Rollback for F:\test\tmpc533.exe
2016-03-21 23:01:27, 成功结束进程 F:\test\tmpc533.exe(PID: 8376)
2016-03-21 23:01:27, Begin Rollback for F:\test\tmpc533.exe
2016-03-21 23:01:27, Rollback Terminate Process F:\test\tmpc533.exe(PID: 8376) succed(0x0)
2016-03-21 23:01:27, Rollback Terminate Process
2016-03-21 23:01:27, Rollback to remove and quarantine dropped file C:\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe, quarantine failed.
2016-03-21 23:01:27, Rollback to remove file \Device\HarddiskVolume5\Sandbox\Likeabull\0test\user\current\Documents\abxqml.exe failed(0xc0000056)
2016-03-21 23:01:27, Rollback to remove directory \Device\HarddiskVolume5\Sandbox\Likeabull\0test\user\current\Documents failed(0xc0000101)
2016-03-21 23:01:27, Rollback to remove directory \Device\HarddiskVolume5\Sandbox\Likeabull\0test\user\current failed(0xc0000101)
2016-03-21 23:01:27, Rollback to remove and quarantine dropped file F:\test\tmpc533.exe, quarantine succed.
2016-03-21 23:01:27, Rollback to remove file \Device\HarddiskVolume3\test\tmpc533.exe succed(0x0)
2016-03-21 23:01:27, Rollback to remove and quarantine dropped file F:\test\tmpc533.exe, quarantine failed.
2016-03-21 23:01:27, 失败结束进程 F:\test\tmpc533.exe, 返回代码: -1073741810
2016-03-21 23:01:27, End Rollback for F:\test\tmpc533.exe
2016-03-21 23:01:27, 清除文件 F:\test\tmpc533.exe. 云鉴定: 未鉴定, (成功清除) 备份返回代码: 4, 清除返回代码: -1
2016-03-21 23:01:27, MpApplyCaution Type: 21, Action: 1, Caution: 045A3364, UpdatePromptStatus: 1, UpdateCautionStatus: 1
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-22 08:22:36

墨家小子发表于 2016-3-21 17:53
不能这么说，只不过BD太倚重ATC了，漏洞攻击防御好像弱了一点

2016版IDS似乎被弱化了，现在单就检测率而言估计也就和2011版差不太多！

显示全部楼层 · 发表于 2016-3-22 09:20:45

挥泪斩情思发表于 2016-3-21 22:34
这种开卡巴的程序控制，效果会不会比较好？

不清楚啊我想试试卡巴，但是怕bug把系统弄坏了，也不知道卡巴那个版本最稳定，如果可以的话我想安装卡巴测试一下，毕竟属于多层防御体系

显示全部楼层 · 发表于 2016-3-22 09:21:09

胖福发表于 2016-3-22 08:22
2016版IDS似乎被弱化了，现在单就检测率而言估计也就和2011版差不太多！

你试过BD企业版没有？不花钱那种

显示全部楼层 · 发表于 2016-3-22 09:52:00

墨家小子发表于 2016-3-22 09:21
你试过BD企业版没有？不花钱那种

以前用过，最新版的没有，那个的版本连主防都没有！

显示全部楼层 · 发表于 2016-3-22 10:25:18

本帖最后由 liulangzhecgr 于 2016-3-22 10:33 编辑

貌似若有hips 稍微留意能防御此样本的恶意行为！

系统：win7 x32
运行环境：受限用户+组策略 ->管理员+特权运行样本！

2016/3/22 09:13:20 创建文件允许
进程: g:\download\tmpc533\tmpc533.exe
目标: C:\Users\baba\Documents\eqgclo.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/3/22 09:13:44 创建新进程允许
进程: g:\download\tmpc533\tmpc533.exe
目标: c:\users\baba\documents\eqgclo.exe
命令行: C:\Users\baba\Documents\eqgclo.exe
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:14:20 结束其他进程允许
进程: c:\users\baba\documents\eqgclo.exe
目标: c:\windows\system32\taskmgr.exe
规则: [应用程序组]病毒测试 -> [目标应用程序]*

2016/3/22 09:14:41 创建注册表项允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_USERS\S-1-5-18\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:15:04 创建新进程允许
进程: g:\download\tmpc533\tmpc533.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL G:\Download\tmpc533\tmpc533.exe >> NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:15:46 创建新进程允许
进程: c:\users\baba\documents\eqgclo.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\System32\vssadmin.exe" Delete Shadows /All /Quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/3/22 09:15:52 创建注册表项允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\trueimg
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:16:03 向其他进程发送消息允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\vssadmin.exe
消息: WM_GETICON
规则: [应用程序]*

2016/3/22 09:16:11 修改文件允许
进程: c:\users\baba\documents\eqgclo.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:16:16 修改文件允许
进程: c:\users\baba\documents\eqgclo.exe
目标: \Device\NamedPipe\srvsvc
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:16:27 修改注册表值允许
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\trueimg\ID
值: dd f3 84 92 bd 29 33 b2
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:16:43 修改文件阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Users\baba\ntuser.dat.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:17:09 修改注册表值阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\_xxcw
值: C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\baba\Documents\eqgclo.exe"
规则: [应用程序组]病毒测试 -> [注册表]*

2016/3/22 09:17:37 修改文件阻止
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Windows\System32\config\SOFTWARE.LOG1
规则: [应用程序组]病毒测试 -> [文件]*

2016/3/22 09:17:44 创建文件允许
进程: c:\users\baba\documents\eqgclo.exe
目标: C:\Users\baba\Documents\+recover+file.txt
规则: [应用程序组]病毒测试 -> [文件]*

...

2016/3/22 09:26:52 访问网络允许
进程: c:\users\baba\documents\eqgclo.exe
目标: TCP [本机 : 49188] -> [50.87.127.96 : 80 (http)]
规则: [应用程序组]病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
...

显示全部楼层 · 发表于 2016-3-22 10:47:23

胖福发表于 2016-3-22 09:52
以前用过，最新版的没有，那个的版本连主防都没有！

那还是算了

[可疑文件] Detection ratio: 7 / 56 BD主防 Vs 神网注入渗透攻击结果败了还杀不到木马DLL

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块

[可疑文件] Detection ratio: 7 / 56 BD主防 Vs 神网注入渗透攻击 结果败了 还杀不到木马DLL

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块

[可疑文件] Detection ratio: 7 / 56 BD主防 Vs 神网注入渗透攻击结果败了还杀不到木马DLL