搜索
查看: 12234|回复: 31
收起左侧

[分享] 不服再测,ESS强大的HIPS原来是可以发现和阻止未知勒索病毒的!

  [复制链接]
greenfinger168
发表于 2017-7-28 14:53:32 | 显示全部楼层 |阅读模式
本帖最后由 greenfinger168 于 2017-7-28 14:55 编辑

昨晚测试ESS HIPS狙击本论坛的新版比特币勒索病毒样本时失败

自己见识过ESS的HIPS功能的强大,有点不服气

经过仔细复盘,终于找到失败的原因了

其实不能怪ESS的HIPS,只能怪自己经验不足,没有用好

失败的原因:
1)HIPS自动模式(默认设置),对于保护自身不被病毒侵害还是很管用的
但对付未知病毒,如这次测试的勒索病毒,基本上没用
所以,在这个模式下测试,双击病毒,你见不到一点反应
等病毒运行结束,你才会发现文本文件和图片
甚至在本论坛下载的病毒样本(加密压缩包)都给加密
被加密的文本格式包括txt, word, pdf等
被加密图片格式我测试的情况是png格式全部加密,但奇怪的是JPEG格式得以幸免

2)开启HIPS手动模式(即交互模式)
我是第一次遇到和测试勒索病毒,没有经验,加之对ESS HIPS自定义规则也不是太熟
所以第一次没有判断出问题,点击了不该有的放行,结果阻止失败
吸取经验后再测,果然狙击成功!

下面给大家分享一下这个病毒的运作过程,你就知道该如何判断和狙击了

点击病毒,并放行

进程中多出一个与病毒同名的进程

同时释放出一个s.bat的批处理文件

尝试在C:\Program Files\7-Zip文件夹内留下勒索信iUNLOCK_guiDE.tXT


尝试加密readme.txt文件

尝试加密ACDSee Systems文件夹中的LicnseAgreement.rtf文件

加密成功的话,文件后缀变成:MyChemicalRomance4EVER

尝试删除原文件


到此为止,我们就应该可以判断出这是个勒索病毒
如果一直放行的话,它会一直在电脑里寻找事先设定的文件类型

然后在文件夹中丢下勒索信,进行加密,再执行把原文件删掉

直到设定的文件类型加密处理完毕为止

看到这里,或今后发现类似行为,你要做的就是
1HIPS拒绝运行

2)任务管理器中直接结束那个病毒进程
这样,你就大功告成,成功发现和狙击了这个勒索病毒,保证了你电脑上资料的安全!


最好告诉你一个小窍门,对于防止文件被加密可能会有帮助(至少在我的测试中对付这个病毒这个方法有效)
我发现如果把文件属性设置成只读

或者把文件夹设置权限,不许写入或修改

这个病毒就无法破坏,进行加密了

-----------------------------------------------------------------------------------------------------------------

作为一名普通杀软用户,使用ESET的产品差不多有10年历史了

以前基本上是默认设置走天下,也没怎么认真研究过它的功能

值得庆幸的是上网习惯和安全意识还算可以,一直也没出什么问题

对ESET研究感兴趣,是从换上Windows10开始

最初的目的是想知道如何利用杀毒和防火墙功能,对付越来越多的流氓软件(或行为)

现在也算有点心得

昨晚第一次测试失败后,我曾萌发换成杀软的想法,并下载了号称Top几的卡巴进行简单测试
结果发现也不过那么回事,各有所长,各有所短

最后,重新测试狙击勒索病毒的成功,彻底打消了换杀软的念头

我觉得ESET ESS有点像瑞士军刀,功能强大,但你必须会用才能最大地发挥它的功效

我最喜欢ESS的是,你可以最大限度地掌控你的电脑

使电脑的一举一动都在你的掌控之中

好了,个人观点,纯属交流,不喜勿喷








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +3 人气 +3 收起 理由
屁颠屁颠 + 3 + 1 版区有你更精彩: )
ziqianweiyang + 1
qftest + 1 感谢提供分享

查看全部评分

feelingdld23
发表于 2017-7-28 16:08:25 | 显示全部楼层
不知道HIPS调成智能模式会是个什么情况?
greenfinger168
 楼主| 发表于 2017-7-28 16:42:04 | 显示全部楼层
本帖最后由 greenfinger168 于 2017-7-28 16:44 编辑
feelingdld23 发表于 2017-7-28 16:08
不知道HIPS调成智能模式会是个什么情况?

这个问题官网的解释

基于主机的入侵预防系统 (HIPS)
可以使用以下四种模式之一执行过滤:
自动模式 - 启用操作(除了保护系统的预定义规则所阻止的操作)。
智能模式 - 仅通知用户极为可疑的事件。
交互模式 - 将提示用户确认操作。
基于策略的模式 - 操作被阻止。
学习模式 - 操作被启用,并在每次操作后创建规则。可在规则编辑器中查看以此模式创建的规则,但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级。当您从“HIPS 过滤模式”下拉菜单中选择“学习模式”后,学习模式结束时间设置将变为可用。选择要采用学习模式的时间范围,最长持续时间为 14 天。当指定的持续时间过去后,将会提示您编辑当 HIPS 处于学习模式中时所创建的规则。还可以选择其他过滤模式,或推迟决定并继续使用学习模式。
学习模式到期之后设置的模式 - 在学习模式到期后选择过滤模式。
HIPS 系统监控操作系统内的事件,并根据类似于个人防火墙所使用的规则作出相应的反应。单击编辑以打开 HIPS 规则管理窗口。在此您可以选择、创建、编辑或删除规则。 编辑 HIPS 规则中可以找到关于规则创建和 HIPS 操作的更多详细信息。

我的体会是,智能模式和自动模式一样,最大的功效在于保护ESET自身的完好,免遭其它软件的篡改或破坏
对于过了ESET LIVEGRID预警和扫描的未知病毒,这两个模式基本不会有太大作用
上面测试的比特币勒索病毒,其目的并不是破坏你的操作系统和安全软件,只是加密用户的重要文档资料
所以才没有触发杀软和操作系统报警
对于这类病毒,只能靠交互模式,并且对操作员的要求很高
操作员必须对操作系统、杀软以及病毒的运作方式又一定的了解才行
譬如我第一次测试失败,就是由于缺乏HIPS的使用经验,以及对这类病毒运作方式缺乏了解
复盘后,总结经验找出规律,第二次就成功了
相信今后再遇到类似病毒也比较有把握对付了

欢迎你多多交流!










feelingdld23
发表于 2017-7-28 17:04:21 | 显示全部楼层
greenfinger168 发表于 2017-7-28 16:42
这个问题官网的解释

基于主机的入侵预防系统 (HIPS)

HIPS交互模式一般人真的是搞不定。
看来有必要给ESET配个防加密软件才行。
greenfinger168
 楼主| 发表于 2017-7-28 17:26:12 | 显示全部楼层
feelingdld23 发表于 2017-7-28 17:04
HIPS交互模式一般人真的是搞不定。
看来有必要给ESET配个防加密软件才行。

其实ESS的HIPS里面已经一项防勒索软件保护功能



不过这次测试看来它是失败了

勒索软件整个运行过程,它一点反应或警示都没有!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cloud01
头像被屏蔽
发表于 2017-7-28 21:00:37 | 显示全部楼层
本帖最后由 cloud01 于 2017-7-28 21:03 编辑

你这实际操作不可行的,都不是在关键目录启用新程序,一般人不会开交互模式,写规则也只会管系统文件目录,用户文件和安装文件夹 程序太多了,反而不会管啊。 而且动作都不是高位动作,一般人怎么判断呢?还是只能牺牲系统,保护关键资料文件夹。系统大不了重装,只要保护好MBR不被改写,就有救。
greenfinger168
 楼主| 发表于 2017-7-28 23:33:09 | 显示全部楼层
cloud01 发表于 2017-7-28 21:00
你这实际操作不可行的,都不是在关键目录启用新程序,一般人不会开交互模式,写规则也只会管系统文件目录, ...

我非常赞同你的观点!

ESS 的 HIPS 功能非常强大

但HIPS的交互模式的确不是一般计算机用户可以驾驭的

其实HIPS的交互模式,完全是靠人脑来进行判断,需要知识和经验

对普通电脑用户来说,最喜欢的当然是像傻瓜相机那样的傻瓜模式,尽可能少的人工干预来运行


cloud01
头像被屏蔽
发表于 2017-7-28 23:50:22 | 显示全部楼层
其实就像ESET说主防也是会被过得,反而HIPS锁定文件夹最有效,hips还能灵活保护直接读取磁盘和注入,及其他高位动作和小动作,不错了。我现在觉得上卡饭有瘾,难道是ESET吸引我的。
52lvqiang
发表于 2017-7-29 08:53:04 | 显示全部楼层
感谢分享,楼主好热心,学习一下
feelingdld23
发表于 2017-7-29 09:30:38 | 显示全部楼层
greenfinger168 发表于 2017-7-28 17:26
其实ESS的HIPS里面已经一项防勒索软件保护功能

形同虚设,默默地叹气中.......
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-22 09:55 , Processed in 0.139060 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表