又用虚拟机试了暗云木马的样本……

fakeviolation

首先，我是直接把扇区写进磁盘的，模拟的是感染后的情况，并不是测试是否能阻止感染。按照腾讯的分析，这个木马多通过流氓下载器、私-Fu等传播，我用一个下载器试了，可能是检测了虚拟机，没重现出来，就不写了。

样本的前63扇区传了VirusTotal：
https://www.virustotal.com/en/fi ... nalysis/1498918736/
可以看到，卡巴能从保存的扇区文件中检出Trojan.Boot.DarkGalaxy.a。
在虚拟机外抓包，也可以看到确实在查询ms.maimai666.com的DNS记录。不过现在查询好像总是返回Server failed，所以没能重现出木马连上云控服务器的情况。

虚拟机是VMware Workstation，装的是没打补丁是Win7 x64 SP1。

尝试用KIS 17.0.0.611(e)（已更到最新）和TDSSKiller（3.1.0.15，勾选Loaded Modules并重启）扫描，都没能扫描到木马：

不过，看卡巴官网的描述，TDSSKiller好像本来就没支持暗云的查杀

（一开始逗比了，把IP地址填到本地IP栏中，而且没有禁用DNS over TCP和DNS over UDP两个默认规则，当然都被放行了……下面是重做的结果）
设置KIS的防火墙，尝试阻止木马查询DNS。观察到木马会尝试8.8.8.8和208.67.222.222两IP地址，分别屏蔽其中的一个：





通过对比，可以发现KIS的防火墙可以拦截“暗云”查询DNS的流量。木马在我的测试中没能成功连上云控服务器，与实际情况还有差别，比较遗憾。
不过目前的结果比较乐观，可以预期KIS能够检测到木马与服务器通信的流量。

ccboxes

测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同，需要PE下处理。对于手段完善的Bootkit，不用PE手杀也非常麻烦。也就是它没有设镜像劫持（现在好像因为动作太大不太流行了），不然你根本什么安软都打不开。

不过讲道理暗云这种玩意儿，先不说UEFI+GPT已经开始普及了，就算是BIOS+MBR不结合Exploit也完全是废物，主防稍微针对一下，一条规则秒全家。所以这东西也只能靠社工手段续命，不过还有人在开发这种东西真是说明了最薄弱的环节永远是人。

泰拉浩

虽然看不太懂  但是感觉KIS还是很靠谱的

fakeviolation

ccboxes 发表于 2017-7-1 23:58
测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同，需要PE下处理。对于手段完善的Bootkit ...

用BOOTKIT确实有点开挂了……不过我想不到的是，暗云也没用太变态的手段访问网络，防火墙还是拦下了暗云的DNS。

fakeviolation

ccboxes 发表于 2017-7-1 23:58
测这个有意义吗。。。。。。。结果是肯定的。Bootkit与Rootkit不同，需要PE下处理。对于手段完善的Bootkit ...

不知道实际中毒的用户是什么情况。
如果安软都有能力发现暗云产生的异常流量，那应该会大面积报警，让用户发觉自己中毒了才对……

ccboxes

fakeviolation 发表于 2017-7-2 00:33
不知道实际中毒的用户是什么情况。
如果安软都有能力发现暗云产生的异常流量，那应该会大面积报警，让用 ...

我不是说过了么，社工啊。这种病毒一般都是隐藏在游戏外{过}{滤}挂等工具中，想要诱导用户关闭安软防护是很轻松的。

正常情况下，现在有主防的几大厂都没有失手的可能，改MBR实在太明显了。Bootkit修改MBR成功之前是完全没有威力的。

fakeviolation

ccboxes 发表于 2017-7-2 14:55
我不是说过了么，社工啊。这种病毒一般都是隐藏在游戏外{过}{滤}挂等工具中，想要诱导用户关闭安软防护是 ...

我是说感染后，好像也没听说有大面积报毒的现象，可能国产杀软连异常网络请求都没及时检测到？或者，可能用户都不把这个当回事？

另外，卡巴也有杀Bootkit的能力，并没有放弃治疗，比如Rootkit.Boot.Cidox，应该和这个对的上号：
http://slab.qq.com/news/tech/1479.html
我有一个样本，实测卡巴是可以杀的。
我觉得不杀暗云应该是卡巴他们比较懒，没针对它搞一下……（也可能确实比较难杀吧）

ccboxes

fakeviolation 发表于 2017-7-3 11:43
我是说感染后，好像也没听说有大面积报毒的现象，可能国产杀软连异常网络请求都没及时检测到？或者，可能 ...

你是不是混淆了什么？我说的是对抗活动Bootkit，并不是在Bootkit感染时查杀。

fakeviolation

ccboxes 发表于 2017-7-3 12:05
你是不是混淆了什么？我说的是对抗活动Bootkit，并不是在Bootkit感染时查杀。

有啥好混淆的……

我一开始不就说了，没能重现流氓下载器给系统植入暗云的场景（无法测试卡巴能否阻止Bootkit被植入）。这个测试只是测试感染后卡巴能做什么（只能测试卡巴能否对抗活动Bootkit），然后结果是无法清除暗云这个MBR Bootkit。

然后……我本来以为暗云尝试连接云控时能无视卡巴的监视的，后来有点出乎我的意料，卡巴可以拦截暗云查询DNS的动作。
国内肯定是国产杀软占有率高，但我好像没看见有大面积反映报毒的。我觉得既然卡巴能拦，国产安软应该也不欠这个能力吧……说到这里，确实有点岔开主帖的话题了。

fakeviolation

ccboxes 发表于 2017-7-3 12:05
你是不是混淆了什么？我说的是对抗活动Bootkit，并不是在Bootkit感染时查杀。

如果你问植入暗云的流氓下载器有没有被国内安软拦截……我也不是很清楚，因为我手里的样本好像检测虚拟机，没重现出植入Bootkit的情况。
FreeBuf有篇文章：http://www.freebuf.com/articles/system/136978.html，评论区里有人提到，国内的杀软似乎都没反应过来。
这篇文章提到的样本有Verisign的数字签名……凭借这个骗到安软的信任、绕过主防可能也不奇怪吧。