搜索
查看: 11807|回复: 244
收起左侧

[分享] 【支持5.0】【高级防护】反攻击规则 Version_3.02

  [复制链接]
191196846
发表于 2019-2-23 11:01:31 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2019-3-25 16:12 编辑

原贴地址 http://bbs.huorong.cn/thread-52119-1-1.html

基于 MITRE ATT&CK™ & 恶意软件行为特征 编写而成,已基本完工,但缺乏测试,故转发在此 分享&测试

更新日志

游客,本帖隐藏的内容需要积分高于 10 才可浏览,您当前积分为 0

火绒5.0导入规则默认全部是关闭状态,需要点击100+次按钮启用所有规则
务必启用防护中心自定义规则按钮,才能生效

Snipaste_2019-03-25_16-09-07.jpg

一、规则设计目的

检测,阻止,拦截各类恶意软件的攻击载体,攻击方法,攻击途径和攻击目标,典型的如Fileless Attacks, Exploits等。

二、规则内容

火绒5.0;规则版本3.0及以上:

[推荐操作]具体拦截项
[结束]AppData路径注入/劫持行为[结束]修改OFFICE默认文档|持续化
[结束]ASMI脚本扫描接口劫持[结束]修改关联项绕过UAC|UAC Bypass
[结束]CMD启动恶意进程[结束]修改系统wbem目录
[结束]CMD释放可疑文件[结束]修改用户登录脚本
[结束]cspt脚本解释器启动恶意进程[结束]疑似勒索/加密行为
[结束]cspt脚本解释器释放恶意文件[结束]疑似木马/病毒行为
[结束]dllhost写入恶意程序[结束]疑似挖矿行为
[结束]Excel漏洞攻击[阻止]CMD启动可疑进程
[结束]MSI安装包启动恶意进程[阻止]cspt脚本解释器启动可疑进程
[结束]MSI安装包释放恶意文件[阻止]cspt脚本解释器释放可疑文件
[结束]MSI安装包添加恶意启动项[阻止]cspt执行可疑脚本
[结束]PowerPoint漏洞攻击[阻止]Excel启动可疑进程
[结束]PowerShell启动恶意进程[阻止]Java应用启动CMD
[结束]PowerShell释放恶意文件[阻止]Java应用启动可疑进程
[结束]PowerShell执行恶意脚本[阻止]Local可疑路径启动CMD
[结束]ProgramData路径注入/劫持行为[阻止]Local可疑路径启动PowerShell
[结束]Roaming可疑路径启动CMD[阻止]Local路径下可疑程序添加启动项
[结束]Roaming路径启动PowerShell[阻止]mshta启动可疑进程
[结束]wmic启动PowerShell[阻止]mshta释放可疑文件
[结束]Word漏洞攻击[阻止]PowerPoint启动可疑进程
[结束]wps表格漏洞攻击[阻止]PowerShell启动可疑进程
[结束]wps文档漏洞攻击[阻止]Roaming下可疑程序窃取隐私信息
[结束]wps演示漏洞攻击[阻止]rundll32启动可疑进程
[结束]wspt脚本解释器启动恶意进程[阻止]services启动可疑进程
[结束]wspt脚本解释器释放恶意文件[阻止]temp程序释放可疑文件
[结束]wuapp释放挖矿配置文件[阻止]temp路径启动CMD
[结束]恶意屏幕保护程序[阻止]temp路径启动PowerShell
[结束]恶意映像劫持[阻止]temp路径下程序启动恶意进程
[结束]恶意注入打印机程序[阻止]temp路径下程序添加可疑启动项
[结束]公式编辑器漏洞攻击[阻止]temp下可疑程序窃取隐私信息
[结束]回收站路径启动恶意进程[阻止]vbc启动可疑进程
[结束]利用certutil窃取隐私信息[阻止]Word启动可疑进程
[结束]利用cliconfg绕过UAC|UAC Bypass|Dll Side  Loading[阻止]wps表格启动可疑进程
[结束]利用dllhost启动可疑进程[阻止]wps文档启动可疑进程
[结束]利用msxsl绕过AppLocker|白名单绕过[阻止]wps演示启动可疑进程
[结束]利用napstat窃取隐私信息[阻止]wspt脚本解释器启动可疑进程
[结束]利用RegAsm窃取隐私信息[阻止]wspt脚本解释器释放可疑文件
[结束]利用vbc窃取隐私信息[阻止]wspt执行可疑脚本
[结束]利用wmic启动可疑进程[阻止]操作Windows日志文件
[结束]利用wmic窃取隐私信息[阻止]公式编辑器启动可疑进程
[结束]利用wuapp挖矿[阻止]加载可疑控件
[结束]利用控制面板启动可疑进程[阻止]检测虚拟机|环境嗅探
[结束]利用系统进程窃取隐私信息[阻止]可疑DLL加载
[结束]利用系统进程添加启动项[阻止]可疑程序添加系统任务
[结束]窃取隐私信息[阻止]利用cmstp下载可疑程序
[结束]添加恶意启动项[阻止]利用PowerShell修改服务项
[结束]系统卷标信息路径下启动恶意进程[阻止]利用regsvr32修改SIP/信任提供者
[结束]修改AppInit DLLs/AppCert DLLs|持久化[阻止]任务计划程序启动可疑子进程/释放文件
[结束]修改NetshHelpDlls以加载恶意程序[阻止]任务计划程序启动未知程序



火绒4.0;规则版本2.71及以下:

【攻击拦截】OFFICE漏洞利用拦截针对对常规办公软件的漏洞攻击(目前支持MS,WPS)
【攻击拦截】OFFICE可疑操作拦截常规办公软件的一些异常/敏感操作,如使用CMD,PS的木马下载行为
【攻击拦截】疑似木马行为拦截程序恶意操作
【攻击拦截】疑似勒索行为拦截特定位置的程序在特定位置创建特定双后缀文件,实现识别勒索程序加密行为(遇弹窗请选择结束进程)
【攻击拦截】疑似挖矿行为拦截恶意挖矿行为
【攻击拦截】疑似注入/劫持行为拦截恶意程序劫持/注入/利用特定系统程序
【攻击拦截】隐私窃取行为拦截使用特定程序盗取用户信息/盗号等恶意操作
【攻击拦截】系统安全机制绕过拦截通过篡改系统设置或使用特殊方式提权绕过系统安全机制
【攻击缓解】反虚拟机/对抗分析检测程序通过嗅探虚拟机环境以逃避侦测
【攻击缓解】可疑CMD操作阻止CMD的一些敏感操作(如直接运行TEMP下的文件;在用户目录下创建可疑文件)
【攻击缓解】可疑PowerShell操作阻止PS的一些敏感操作(同上)
【攻击缓解】可疑脚本操作阻止脚本解释器的一些敏感操作(同上,更加严格)
【攻击缓解】可疑任务计划程序操作阻止任务计划程序一些敏感操作(如使用非常规方式添加任务计划项)
【攻击缓解】可疑DLL加载阻止特定目录加载可疑DLL
【攻击缓解】可疑JAVA应用操作阻止Java程序的可疑操作(针对adwin后门系列)
【攻击缓解】可疑启动项阻止特定程序/目录添加可疑开机启动项
【攻击缓解】其他可疑操作阻止系统进程的敏感操作

三、规则特点

1. 对于普通用户来说,日常使用不会出现任何弹窗;若遇弹窗请仔细查看弹窗内容,不认识/不是自行操作/安装软件 请立即阻止
2. 不依赖自动处理,不依赖全局规则,对电脑性能影响最小化

四、注意事项


1、遇到弹窗尽量不要记住操作,否则规则就无效了;频繁遇到弹窗,认为规则有问题请回复本帖
2、遇到弹窗选择“结束进程”会比“阻止”更有效拦截攻击行为。
3、暂未测试是否与其他规则有冲突的情况,不建议与其他同类型规则搭配使用。
4、主规则导入入口为 自定义规则, Auto 导入入口为自动处理






评分

参与人数 14原创 +1 人气 +27 收起 理由
zdlzp + 1 精品文章
小飞侠.net + 2 版区有你更精彩: )
zjglad520 + 1 很给力!
abcat + 3 版区有你更精彩: )
HEMM + 1 看不懂!请重写一遍~

查看全部评分

本帖被以下淘专辑推荐:

ziyerain2015
发表于 2019-2-23 16:46:13 | 显示全部楼层
沙发又更新了,不用去火绒规则区花钱下了
具具
发表于 2019-2-23 16:59:10 | 显示全部楼层
好的谢谢
wakin20
发表于 2019-2-23 19:24:32 | 显示全部楼层
谢谢分享!
hbzhang
发表于 2019-2-23 19:30:24 | 显示全部楼层
收藏备用,谢谢! 目前在使用智量,以前使用过火绒。
雪拥蓝关
发表于 2019-2-23 20:48:56 | 显示全部楼层
支持分享。
lixiaolu
发表于 2019-2-23 21:20:20 | 显示全部楼层
这个支持下载用
zzxgj
发表于 2019-2-23 21:34:49 | 显示全部楼层
可以的,但是好像和卡巴斯基打架?
191196846
 楼主| 发表于 2019-2-23 21:38:58 | 显示全部楼层
zzxgj 发表于 2019-2-23 21:34
可以的,但是好像和卡巴斯基打架?

上传下日志

不建议同时使用其他安软
我爱华
发表于 2019-2-23 22:00:28 | 显示全部楼层
好久没用了,收起来试一下
小飞侠.net
发表于 2019-2-24 04:24:56 | 显示全部楼层
不过,这个2.63版怎么在提示这个,以前版本不提示

操作者:C:\Users\xfxnet2000\AppData\Roaming\baidu\BaiduYunGuanjia\HelpUtility.exe
命令行: -cmd report_log -logfile "C:\Users\xfxnet2000\AppData\Roaming\BaiduYunGuanjia\logs\XLog_20190215195005_5556.txt" -md5 "63850083d4909ab70a8ff2498062de07" -pid "5556" -seq "0" -bduss "jBCcXVJbzlsWVlBYnJZRW55aTUtbnlzMXBycHlyaWlmUzdxTy1YaHFKV0tEVEpjQVFBQUFBJCQAAAAAAAAAAAEAAADAko4C0KG3ys-6MjAwNwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIqAClyKgApcc" -https "0" -netdiskstoken "f2362a081bf951f3289554ccffdb42cdd2e21a0865acc16baf35c9d4d57f35bb"
触犯规则:【攻击拦截】隐私窃取行为
操作类型:创建
操作文件:C:\Users\xfxnet2000\AppData\Local\Temp\XLog_20190215195005_5556.txt
用户操作:已阻止
191196846
 楼主| 发表于 2019-2-24 10:24:36 | 显示全部楼层
小飞侠.net 发表于 2019-2-24 04:24
不过,这个2.63版怎么在提示这个,以前版本不提示

操作者:C:%users\xfxnet2000\AppData\Roaming\ ...

2.64已解决,可以更新了~
laoxiao414
发表于 2019-2-24 11:12:13 | 显示全部楼层
解压密码??????
191196846
 楼主| 发表于 2019-2-24 11:15:29 | 显示全部楼层
laoxiao414 发表于 2019-2-24 11:12
解压密码??????

抱歉,已经改了,现在可以重新下载下
wakin20
发表于 2019-2-24 11:25:55 | 显示全部楼层
昨天才上的63,今天就64了。果断跟上。
danshiyuan
发表于 2019-2-24 11:41:44 | 显示全部楼层
这样的软件很适合小白使用
j2016
发表于 2019-2-24 11:52:59 | 显示全部楼层
收藏备用,谢谢
tvtv
发表于 2019-2-24 11:54:56 | 显示全部楼层
试试,多谢分享啊
yylzzx
发表于 2019-2-24 13:47:25 | 显示全部楼层
谢谢,已收藏
bizhu4567
发表于 2019-2-24 14:32:44 | 显示全部楼层
收藏备用,谢谢分享啊
191196846
 楼主| 发表于 2019-2-24 17:54:04 | 显示全部楼层
本帖最后由 191196846 于 2019-2-24 17:57 编辑
petr0vic 发表于 2019-2-24 17:30
@191196846
no news about english version?

search in their forum
http://bbs.huorong.cn/search.php ... =%E8%8B%B1%E6%96%87

no answer still... just "we will consider,  we receive suggestions" etc...  

5.0 will be released soon , but still no answer for supporting multi-language version

help you ask again @火绒工程师

评分

参与人数 1人气 +1 收起 理由
petr0vic + 1 感谢解答: )

查看全部评分

191196846
 楼主| 发表于 2019-2-24 18:27:31 | 显示全部楼层
petr0vic 发表于 2019-2-24 18:09
I found this earlier
http://bbs.huorong.cn/forum.php?mod=viewthread&tid=52258&highlight=english

so no exactly when....
191196846
 楼主| 发表于 2019-2-26 16:27:17 | 显示全部楼层
kfEcho 发表于 2019-2-26 14:58
额...是不是规则太宽泛了?

1/下图连运行个截图工具都疑似木马?

你好,可以上传下日志吗?
191196846
 楼主| 发表于 2019-2-26 22:44:27 | 显示全部楼层
zzh197206 发表于 2019-2-26 22:43
更新很频繁,能有个更新的说明吗

原贴第二楼
http://bbs.huorong.cn/thread-52119-1-1.html
191196846
 楼主| 发表于 2019-2-27 08:20:56 | 显示全部楼层
kfEcho 发表于 2019-2-27 08:08
不能传.txt,打了个包

你好,【攻击拦截】隐私窃取行为 的误报问题2.66解决了

问下QQSnapShot.exe是你手动放在ProgramFiles根目录下的么?一般程序是不会在那个位置的

还请问PartAssist.exe是什么程序?是单文件/绿色/破解版本还是什么?
191196846
 楼主| 发表于 2019-2-27 08:21:19 | 显示全部楼层
小飞侠.net 发表于 2019-2-27 02:12
操作者:C:\Windows\System32\svchost.exe
命令行:C:\Windows\System32\svchost.exe -k secsvcs
触犯规 ...

下个更新解决
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-3-26 00:48 , Processed in 0.064305 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表