查看: 7381|回复: 21
收起左侧

[问题反馈] 360防御勒索问题测试

[复制链接]
vm001
发表于 2016-10-28 12:09:54 | 显示全部楼层 |阅读模式
样本地址http://bbs.kafan.cn/thread-2062323-1-1.html
360安装beta最新的

为了测试防御问题,我们需要删除360的qvm模块和关闭云安全计划,防止样本修改MD5后被上传
一切工作准备就绪。。

我想这是一个环境,不代表很大部分。。
首先说这个勒索的行为是先远程线程注入自身进程,然后开始勒索行为。。
然而只要拦截了注入就没有什么问题了,但是这里有个问题就是360在win10或者说win1064位系统上需要开启核晶防护,才会拦截到一些样本的注入行为。。这个现在大部分主板是已经开启vt的,但是有部分需要用户到主板里设置才可以,那么有多少用户会自己操作这些呢?
所以这里我就要模仿这些不会在主板里开启vt的用户,恰巧遇到勒索的情况。。
我们就用虚拟机来模仿下环境吧

我们要知道,样本进入用户系统的时候不一定是压缩包,他可能就是一个直接可执行文件,比如exe
我们在虚拟机外修改样本MD5,然后拖到虚拟机(这里官人也可能会说,需要传进去,因为不会无缘无故的进入电脑的,传进去其实就是要通过一下360的下载保护或者说是传输保护,那这个不是重要的,因为很多人不一定适用的是360有保护的浏览器)
拖进去以后,要确保360防护起了作用
然后来运行样本。。
因为我模仿无法开启vt的用户,所以虚拟机就没设置开机虚拟化。。
样本执行以后注入自身。。360拦截不到注入
不过马上会报毒。。因为样本已经注入了,所以报毒同时弹出uac提示(很多ghost用户估计都是关闭的,所以连这个提示也不一定会有)



点击是以后,我们在点击360拦截泡泡的清除



点击清除以后,其实由于注入的缘故,样本的进程还在,360只是结束掉注入以后的双进程的其中一个



样本开始读写磁盘



360再次弹出拦截提示,但是文件已经被加密



结论可以总结为,360在无法开启vt虚拟化技术的64位电脑上,如果遇到还没有捕获入库的勒索病毒,可能是无法防御的。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2016-10-28 12:13:51 | 显示全部楼层
桑次不是说数字会先备份被加密的文档那个吗?
这种情况下保护机制失效了吗?
vm001
 楼主| 发表于 2016-10-28 12:18:59 | 显示全部楼层
pal家族 发表于 2016-10-28 12:13
桑次不是说数字会先备份被加密的文档那个吗?
这种情况下保护机制失效了吗?

备份文档实在检测到勒索行为的时候开始备份原文档,比如执行某类勒索360弹出拦截文档修改的泡泡,这时候是有一两个文档已经被篡改了的,然后在你点击拦截泡泡上的阻止的时候,360帮你把这已经篡改了得文档恢复出来。。
然而我这个测试是360在这种情况下就没检测到文档的篡改行为
pal家族
发表于 2016-10-28 12:22:56 | 显示全部楼层
vm001 发表于 2016-10-28 12:18
备份文档实在检测到勒索行为的时候开始备份原文档,比如执行某类勒索360弹出拦截文档修改的泡泡,这时候 ...

那监控报的ransom是什么原理呢?
云主防吗?
vm001
 楼主| 发表于 2016-10-28 12:35:37 | 显示全部楼层
本帖最后由 vm001 于 2016-10-28 12:37 编辑
pal家族 发表于 2016-10-28 12:22
那监控报的ransom是什么原理呢?
云主防吗?


这个要么是云主防报的,要么是ave引擎报的。。
甚至有可能是云端的在线多引擎扫描报的
pal家族
发表于 2016-10-28 12:40:12 | 显示全部楼层
vm001 发表于 2016-10-28 12:35
这个要么是云主防报的,要么是ave引擎报的。。
甚至有可能是云端的在线多引擎扫描报的

还是监控体系。。。。
可惜了
除非重新设置一套住房和监控
ydgaga
发表于 2016-10-28 14:09:56 | 显示全部楼层
本帖最后由 ydgaga 于 2016-10-28 14:11 编辑

360卫士有反勒索服务,就算是拦截不了,360还有垫付勒索资金功能,不需要自己掏钱的
国内现在唯一还做赔付的就只有360了,这个不服不行
网购赔付和勒索赔付
关键是360还是免费的
你还要啥自行车
pal家族
发表于 2016-10-28 15:43:00 | 显示全部楼层
追求完美是任何一家安全厂商应该一直追求的
除非
他不是一家安全厂商。
回复楼上
BHHZDQL
发表于 2016-10-28 18:20:15 | 显示全部楼层
pal家族 发表于 2016-10-28 15:43
追求完美是任何一家安全厂商应该一直追求的
除非
他不是一家安全厂商。

安全厂商只是厂商,他的主要任务是赚钱而不是追求完美

追求的只是个相对的平衡,投入和产出的平衡

总而言之就是追求最大的利益
pal家族
发表于 2016-10-28 18:31:47 | 显示全部楼层
BHHZDQL 发表于 2016-10-28 18:20
安全厂商只是厂商,他的主要任务是赚钱而不是追求完美

追求的只是个相对的平衡,投入和产出的平 ...

所以e厂商赚的钱多
有的抓不到钱
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:56 , Processed in 0.120762 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表