捆绑驱动木马的外{过}{滤}挂

显示全部楼层 · 发表于 2019-11-9 22:15:50

记录微笑发表于 2019-11-9 22:06
不止这些
执行图：

盒子的流程图可以说是可读性很烂了

显示全部楼层 · 发表于 2019-11-9 22:20:59

中途还注入了explorer.exe导致explorer.exe崩溃

显示全部楼层 · 发表于 2019-11-9 22:21:12

BE_HC 发表于 2019-11-9 22:15
盒子的流程图可以说是可读性很烂了

我比较喜欢BD沙盒的家族分类，都很准确:

BD沙盒报告全图：

显示全部楼层 · 发表于 2019-11-9 22:26:00

动作好多，用的沙盒双击，扫描MISS。蜘蛛把释放的DLL杀了。网页也拦截了。

显示全部楼层 · 发表于 2019-11-9 22:30:07

记录微笑发表于 2019-11-9 22:21
我比较喜欢BD沙盒的家族分类，都很准确:

我倒是觉得沙盒对于判定家族倒不是很重要
主要是行为能否跑出来

一些需要交互的这种云沙盒一般都8行，能像anyrun那样会更好

显示全部楼层 · 发表于 2019-11-9 22:33:22

释放出的文件
https://www.lanzous.com/i79jv7i
密码infected
智量全部报Heur.ML.PE.B

显示全部楼层 · 发表于 2019-11-9 22:35:28

BE_HC 发表于 2019-11-9 22:30
我倒是觉得沙盒对于判定家族倒不是很重要
主要是行为能否跑出来

BD的沙盒主要用于和端点交互，所以一旦家族名被判定出来客户端就可以知道为什么被判黑。

比如勒索，客户端会写：Sandbox.Ransomware

这个病毒会写:Sandbox.DNSChanger

显示全部楼层 · 发表于 2019-11-9 22:42:22

记录微笑发表于 2019-11-9 22:35
BD的沙盒主要用于和端点交互，所以一旦家族名被判定出来客户端就可以知道为什么被判黑。

沙盒的宗旨就是检测未知威胁，那肯定得把收集到的威胁下发至客户端或上传至公有云

虽说看你说的感觉你对“交互”有什么误解。。。我指的是跟“被测软件”进行交互。。。

显示全部楼层 · 发表于 2019-11-9 22:55:51

BE_HC 发表于 2019-11-9 22:42
沙盒的宗旨就是检测未知威胁，那肯定得把收集到的威胁下发至客户端或上传至公有云
虽说看你说的感 ...

这个，像BD这种沙盒是作为GravityZone防御体系的一部分，考虑到GravityZone可以同时接入超过1000台端点，加上BD的上传策略非常激进，稍微新一点的文件都会上传，为了不累死IT管理员，也不会允许用户进行交互的。顶多支持你在手动上传时设置命令行。

显示全部楼层 · 发表于 2019-11-9 23:12:10

记录微笑发表于 2019-11-9 22:55
这个，像BD这种沙盒是作为GravityZone防御体系的一部分，考虑到GravityZone可以同时接入超过1000台端点， ...

触发沙盒检测的机制基本上都很激进，不存在在信誉库基本上都会传。

飞塔是把Unknown的都会特别标出可以重新交互跑一遍，虽然说没问题也不会去跑

而且我觉得你还是没理解我意思。。。不是让管理员给每个样本都交互一遍。。。只是说对于特别可疑的文件直接上传却跑不出行为可以交互跑一遍

[病毒样本] 捆绑驱动木马的外{过}{滤}挂