楼主: 墨家小子
收起左侧

[可疑文件] File name: muxu.exe Detection ratio: 10 / 62 AG官方确认样本突破某种设定下的防御

[复制链接]
B100D1E55
发表于 2017-7-16 08:50:11 | 显示全部楼层

注入部分的API信息,不少在线沙盘都有提供
墨家小子
 楼主| 发表于 2017-7-16 10:26:15 | 显示全部楼层
B100D1E55 发表于 2017-7-16 08:50
注入部分的API信息,不少在线沙盘都有提供

晕了,自从阿努比斯不行了就不知道那个在线沙盘好一点,求推荐,大佬
B100D1E55
发表于 2017-7-16 10:34:26 | 显示全部楼层
墨家小子 发表于 2017-7-16 10:26
晕了,自从阿努比斯不行了就不知道那个在线沙盘好一点,求推荐,大佬

近期DeepViz之类的纷纷下线之后的确选择少了很多……

我个人比较偏爱https://malwr.com, 你点Behavioral Analysis就有相应导出了。国内基于类似内核的是https://www.maldun.com/(我发现我这边没法访问了……),不过这公司貌似开发能力有限,基本照搬cuckoo-modified,而今cuckoo-modified已经没人维护,我看maldun之后很悬了。

最后的最后,自己搭沙盘是最稳定的,还可以自己写规则和parsing脚本,其乐无穷
墨家小子
 楼主| 发表于 2017-7-16 10:41:41 | 显示全部楼层
B100D1E55 发表于 2017-7-16 10:34
近期DeepViz之类的纷纷下线之后的确选择少了很多……

我个人比较偏爱https://malwr.com, 你点Behavio ...

自己搭沙盘,大佬果然……
那这个样本是不是注入explorer?
ccboxes
发表于 2017-7-16 10:48:05 | 显示全部楼层
B100D1E55 发表于 2017-7-15 23:07
完全不神啊……不然你以为脱壳/二进制翻译后提取什么特征。单纯字符串/二进制特征内存扫描早已经是化石技 ...

这也就是说,ESET所谓的深层特征就是经过分析后提取出的机器码序列喽?
我一直以为靠的是反编译。。。。。。。。。。。也是,我也想不通反编译怎么对付非解释语言,如果这样的话的确可以称作基于行为(要是广义上算,所有启发引擎都是基于行为)。

我一开始的意思是说AMS并不是通过消息钩子来拦截实际的API调用,所以单纯看到AMS杀并不能说明是侦测到了注入(墨家小子对AMS和注入有一点误解),当然,报Injector的话就是了。

B100D1E55
发表于 2017-7-16 10:57:45 | 显示全部楼层
墨家小子 发表于 2017-7-16 10:41
自己搭沙盘,大佬果然……
那这个样本是不是注入explorer?

我认为应该是的。你要是对注入感兴趣的话我个人推荐http://blog.opensecurityresearch ... jection-basics.html 这篇写的不错
墨家小子
 楼主| 发表于 2017-7-16 10:59:03 | 显示全部楼层
本帖最后由 墨家小子 于 2017-7-16 11:01 编辑
B100D1E55 发表于 2017-7-16 10:57
我认为应该是的。你要是对注入感兴趣的话我个人推荐http://blog.opensecurityresearch.com/2013/01/windo ...
要是注入的话,那AppGuard的MemoryGuard就废材了,又要升级,nnd,年度订阅啊……
大佬能不能给翻译啊
注入才好玩啊,不注入怎么叫木马啊
B100D1E55
发表于 2017-7-16 11:01:18 | 显示全部楼层
墨家小子 发表于 2017-7-16 10:59
大佬能不能给翻译啊
注入才好玩啊,不注入怎么叫木马啊

其实之前打算写一篇各家安软银行模式浏览器防注入测试的(reflective dll injection很好玩),其中有一部分打算直接从这篇里面扣出来翻译了。不过最近没空
墨家小子
 楼主| 发表于 2017-7-16 11:03:12 | 显示全部楼层
B100D1E55 发表于 2017-7-16 11:01
其实之前打算写一篇各家安软银行模式浏览器防注入测试的(reflective dll injection很好玩),其中有一部 ...

那个挂马网页能突破ESET的注入防御,我服谁
B100D1E55
发表于 2017-7-16 11:05:55 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-7-16 11:07 编辑
ccboxes 发表于 2017-7-16 10:48
这也就是说,ESET所谓的深层特征就是经过分析后提取出的机器码序列喽?
我一直以为靠的是反编译。。。。 ...

这里面的思想有点意思。如果你学过体系结构相关的话就肯定知道缓存主要作用于temporal locality和spatial locality两种情况。其实AMS就类似利用spatial locality(同内存页代码,对程序流不那么敏感,此外官方对跨内存页的事情闭口不提)。而钩子之类的监控就是temporal locality(主要取决于程序流控制,关联存在于时域)。

我觉得这两个如果能结合的话至少行为检测上算覆盖比较完全了。不过目前我并没有看到有产品同时覆盖两者。既然ESET已经有了HIPS框架,后期在另一块上面努力的话或许有前途。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 19:18 , Processed in 0.089068 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表