查看: 6369|回复: 14
收起左侧

[智量] 简单测试智量2.0

[复制链接]
Jerry.Lin
发表于 2019-4-14 11:29:34 | 显示全部楼层 |阅读模式
本帖最后由 191196846 于 2019-4-14 11:45 编辑

1、静态检出:跟1.+版本没啥区别,很少能过,加壳,非PE文件(OFFICE,脚本)亦是如此
日志:
  1. 2019-04-14 10:28:59|C:\Users\shadow_test\Desktop\WiseFax-0304201958032204.exe|Heur.ML.PE.B
  2. 2019-04-14 10:29:15|C:\Users\shadow_test\Desktop\fotovideoforyou.exe|Heur.ML.PE.B
  3. 2019-04-14 10:29:16|C:\Users\shadow_test\Desktop\good.exe|Heur.ML.PE.B
  4. 2019-04-14 10:29:33|C:\Users\shadow_test\Desktop\ASPACK\fotovideoforyou.exe|Heur.ML.PE.B
  5. 2019-04-14 10:29:35|C:\Users\shadow_test\Desktop\ASPACK\good.exe|Heur.ML.PE.B
  6. 2019-04-14 10:29:36|C:\Users\shadow_test\Desktop\ASPACK\WiseFax-0304201958032204.exe|Heur.ML.PE.B
  7. 2019-04-14 10:29:37|C:\Users\shadow_test\Desktop\PEC\fotovideoforyou.exe|Heur.ML.PE.B
  8. 2019-04-14 10:29:37|C:\Users\shadow_test\Desktop\PEC\good.exe|Heur.ML.PE.B
  9. 2019-04-14 10:29:38|C:\Users\shadow_test\Desktop\PEC\WiseFax-0304201958032204.exe|Heur.ML.PE.B
  10. 2019-04-14 10:36:45|C:\Users\shadow_test\AppData\Local\Microsoft\Windows\INetCache\IE\TF60VK10\CAY_FC[1].exe|Heur.ML.PE.A
  11. 2019-04-14 10:36:51|C:\Users\shadow_test\AppData\Local\Temp\70y43ju60.exe|Heur.ML.PE.A
  12. 2019-04-14 10:41:33|C:\Users\shadow_test\Desktop\Required Amazon trading guideline.xls|Trojan.Generic
  13. 2019-04-14 10:43:00|C:\Users\shadow_test\AppData\Roaming\Microsoft\2000.exe|Trojan.Ransom.Generic
  14. 2019-04-14 10:43:03|C:\Users\shadow_test\AppData\Roaming\Microsoft\2000.exe|Trojan.Ransom.Generic
  15. 2019-04-14 10:47:58|C:\Users\shadow_test\Desktop\xorist_mcafe1e.exe|Heur.ML.PE.A
  16. 2019-04-14 10:47:59|C:\Users\shadow_test\Desktop\xorist_mcafee.exe|Heur.ML.PE.B
  17. 2019-04-14 10:48:36|C:\Users\shadow_test\Desktop\Fatturazione_Elettronica__invio_copia__611728.docm|HEUR.Office.ML.A
  18. 2019-04-14 10:48:55|C:\Users\shadow_test\Desktop\iYcT-VecTlIVR1eW6hx_NjylxULT-zmI|HEUR.Office.ML.A
  19. 2019-04-14 10:50:34|C:\Users\shadow_test\Desktop\TA505\Required Amazon trading guideline.xls|Trojan.Generic
  20. 2019-04-14 10:50:37|C:\Users\shadow_test\Desktop\TA505\1.dll|Heur.ML.PE.A
  21. 2019-04-14 10:52:32|C:\Users\SHADOW~1\AppData\Local\Temp\BNZ.5cb2a06d965f6c\Fatturazione_Elettronica__invio_copia__611728.docm|HEUR.Office.ML.A
复制代码

2、动态检出:
2.0增强了主防,从目前测试来看,效果还是很好的,包含衍生物清除,关联分析,暂无发现有文件/注册表项回滚
测试内容:后门,勒索,脚本(fileless),宏文档,漏洞攻击文档
测试方法:关闭文件实时监控
测试结果:去除部分跑不出的样本,其余全部拦截,并清除关联文件(没有误伤到正常文件,如清除.doc及关联衍生物.exe OFFICE仍可正常运行)
值得注意的是,从日志上看,测试的勒索报毒均为行为分析报毒,貌似没有触发勒索诱捕或文档保护功能
关于主防拦截点:相对于卡巴,比较靠前,几个动作出了就报了,这点和趋势很像,不知道误报控制如何。
  1. 2019-04-14 10:52:49|C:\Users\SHADOW~1\AppData\Local\Temp\BNZ.5cb2a07e96a166\Fatturazione_Elettronica__invio_copia__611728.docm|WIBD:HEUR.Trojan.AA01
  2. 2019-04-14 10:53:15|C:\Users\shadow_test\Desktop\ASPACK\4366918008_Apr_12_2019.js|WIBD:HEUR.Trojan.EB021
  3. 2019-04-14 10:53:20|C:\Users\shadow_test\AppData\Local\Temp\gc3tv03sj.exe|WIBD:HEUR.Trojan.EB021
  4. 2019-04-14 10:54:26|C:\Skyep\Skyep.bat|WIBD:HEUR.Trojan.KA
  5. 2019-04-14 10:54:29|C:\Users\shadow_test\Desktop\示例样本2_1.xls.zip|WIBD:HEUR.Trojan.KA
  6. 2019-04-14 10:56:08|C:\Users\shadow_test\Desktop\示例样本\1.js|WIBD:HEUR.Trojan.AA01
  7. 2019-04-14 10:56:41|C:\Users\shadow_test\Desktop\1.exe|WIBD:HEUR.Ransom.F
  8. 2019-04-14 10:57:15|C:\Users\shadow_test\Desktop\2.exe|WIBD:HEUR.Ransom.F
  9. 2019-04-14 10:57:37|C:\Users\shadow_test\Desktop\xorist_mcafe1e.exe|WIBD:HEUR.Ransom.G
  10. 2019-04-14 10:59:25|C:\Users\shadow_test\Desktop\1FLINT.EXE|WIBD:HEUR.Trojan.I02
  11. 2019-04-14 11:00:00|C:\Users\shadow_test\Desktop\R456BMN_signed.exe|WIBD:HEUR.Trojan.I02
  12. 2019-04-14 11:04:46|C:\Users\shadow_test\Desktop\TrojanVBInject.b.exe|WIBD:HEUR.Trojan.I02
  13. 2019-04-14 11:05:53|C:\Users\shadow_test\Desktop\VirToolObfuscator.bh.exe|WIBD:HEUR.Trojan.I02
  14. 2019-04-14 11:06:02|C:\Users\shadow_test\Desktop\RansomDatawait.a.exe|WIBD:HEUR.Trojan.KA
  15. 2019-04-14 11:06:33|C:\Users\shadow_test\Desktop\HVMTrojanMalBehav.gen!A.exe|WIBD:HEUR.Trojan.I02
  16. 2019-04-14 11:07:22|C:\Users\shadow_test\Desktop\TrojanSpyFormbook.a.exe|WIBD:HEUR.Trojan.I02
  17. 2019-04-14 11:08:05|C:\Users\shadow_test\Desktop\word.exe|WIBD:HEUR.Ransom.G
  18. 2019-04-14 11:08:52|C:\Users\shadow_test\Desktop\taskhost.exe|WIBD:HEUR.Trojan.I02
  19. 2019-04-14 11:10:13|C:\Users\shadow_test\Desktop\f.l.a.s.h_Player.exe|WIBD:HEUR.Trojan.AB01
  20. 2019-04-14 11:12:06|C:\Users\shadow_test\Desktop\LR20\zzbdrimp2939.exe|WIBD:HEUR.Trojan.AB01
  21. 2019-04-14 11:12:14|C:\Users\shadow_test\Desktop\LR20\tgytutrc7290.exe|WIBD:HEUR.Trojan.AB01
  22. 2019-04-14 11:12:54|C:\Users\shadow_test\Desktop\Britta_Hollermann_Bewerbungsunterlagen.doc.exe|WIBD:HEUR.Ransom.F
  23. 2019-04-14 11:14:36|C:\Users\shadow_test\Desktop\1.exe|WIBD:HEUR.Trojan.AB01
  24. 2019-04-14 11:15:51|C:\Users\shadow_test\Documents\dtiardhues.exe|WIBD:HEUR.Trojan.EB021
  25. 2019-04-14 11:16:46|C:\Windows\system32\wbem\wmiprvse.exe|WIBD:Exploit.PowerShell.A001
复制代码


测试没有评估误报问题,结果仅具有参考性

个人感觉智量带给我最大的问题是……界面看起来像FakeAV

评分

参与人数 7人气 +10 收起 理由
Jirehlov1234 + 1 最后一句话真相了
Jomye + 2 感谢解答: )
petr0vic + 1
bambooslip + 1 版区有你更精彩: )
天耀群星 + 1 求智量2.0安装包

查看全部评分

user51ty
发表于 2019-4-14 11:33:22 | 显示全部楼层
期待好用!
天耀群星
头像被屏蔽
发表于 2019-4-14 12:21:17 | 显示全部楼层
支持测试,支持智量
wakin
发表于 2019-4-14 13:06:38 | 显示全部楼层
好期待2.0的出现,不知道正式版这个月内是否会如期发布
761773275
发表于 2019-4-14 19:19:56 | 显示全部楼层
智量加油, 就差一个漂亮的UI了
669787589
发表于 2019-4-14 19:50:20 | 显示全部楼层

期待好用!
宁南笑一
发表于 2019-4-14 20:19:31 | 显示全部楼层
期待2.0
sanhu35
发表于 2019-4-14 21:24:38 | 显示全部楼层
界面像fakeav 牛了
Jomye
发表于 2019-4-14 22:51:58 | 显示全部楼层
期待这个月的中旬的出现。
hup
发表于 2019-4-14 23:00:18 | 显示全部楼层
老哥你是哪里来的包
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:20 , Processed in 0.129516 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表