【2012-2020/挖坟/卡巴黑历史】你以为你的杀毒是来防毒的？自0day安排就完事了XD

lifan88

PS：这件事情不是针对卡巴，而且对于所有杀软而言：外攻可防，内贼难擒，千里之堤溃于蚁穴的经典例子

你以为你的防火墙百毒不侵，然后被APT-duqu给安排了。。。

https://media.kasperskycontenthu ... e_actor_returns.pdf

自身漏洞全家升天插入杀软的r3-r0通信，直接利用杀软驱动干活

这就是安全强度极高的杀软公司会被入侵的原因

推荐各位新来小伙多学习学习，多看看文章，引用文章也多看看









深夜，来了卡饭10年快11年了，有感而发，新人应该多了解一些东西，不要总是局限于扫描。

看到现在新人有很多像10年前的我一样萌新，而且还是处于学习的年龄，推荐要是真的有兴趣，推荐自学c艹，慢慢了解逆向，去感受这一行的魅力，要是真喜欢内核/驱动的话，UC论坛推荐给萌新一个学习路子：
https://www.learncpp.com
还有一本专门讲windows os的书，微软出的：Windows Internals 7
Warn:不要歧视英语，到你想用的时候不要连用都不会了，我小学扔掉英语书，撕掉英语书，结果本科背的眼泪都出来了现在深造了才知道年少多彩笔，需要社会的毒打才知道悔改，但是本科的时候重新学英语真的难受。。。

ps:我不太清楚推荐上面两个是那帮人玩梗还是真心提示原谅我英语垃圾

小Q机器人

只想问大神，你用什么防御装备？

BE_HC

去hybrid找了找
自带英语天赋的路过

1. YARA signature "apt_duqu2_loaders" classified file "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192.bin" as "apt,duqu,duqu2" based on indicators: "530045004c0045004300540020006000440061007400610060002000460052004f004d0020006000420069006e006100720079006000200057004800450052004500200060004e0061006d00650060003d00270025007300250069002700,MSI.dll,msi.dll,StartAction"
   
2. YARA signature "APT_Kaspersky_Duqu2_procexp" classified file "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192.bin" as "apt,duqu,duqu2" based on indicators: "7300760063006d00730069005f00330032002e0064006c006c00,MSI.dll,530045004c0045004300540020006000440061007400610060002000460052004f004d0020006000420069006e006100720079006000200057004800450052004500200060004e0061006d00650060003d00270025007300250069002700,53007900730069006e007400650072006e0061006c007300200069006e007300740061006c006c0065007200,500072006f00630065007300730020004500780070006c006f00720065007200" (Reference: https://goo.gl/7yKyOj, Author: Florian Roth)
   
3. YARA signature "apt_duqu2_loaders" classified file "all.bstring" as "apt,duqu,duqu2" based on indicators: "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i',MSI.dll,msi.dll,StartAction"
   
4. YARA signature "APT_Kaspersky_Duqu2_procexp" classified file "all.bstring" as "apt,duqu,duqu2" based on indicators: "svcmsi_32.dll,MSI.dll,SELECT `Data` FROM `Binary` WHERE `Name`='%s%i',Sysinternals installer,Process Explorer" (Reference: https://goo.gl/7yKyOj, Author: Florian Roth)

复制代码

杀软病综合医院

我的英语水平停留在 what is your name

a27573

C++如果不求面面俱到或者精通，也就是学到能用的话，还算简单
然而逆向真的麻烦，内核方面更加

对于有一定编程基础的人（比如我学过pascal），《C++ Primer》就不错
不过《C++ Primer》几乎只讲语言，https://www.learncpp.com 从配置环境开始手把手教学确实比较适合新手


本人OIer

傲普斯顿

我的英语  怎么说的   就是看文章  翻译东西很牛逼  笔试哄哄的   一到听力就歇菜  乌利瓦拉的不知说些什么  到现在很多单词都知道意思会用却不会读

lifan88

小Q机器人 发表于 2020-3-13 01:28
只想问大神，你用什么防御装备？

保密了，推荐大厂作品，但是国内只有360。。

lifan88

BE_HC 发表于 2020-3-13 07:51
去hybrid找了找
自带英语天赋的路过

你得去找到老版本有0day的卡巴测试测试但是可能论文里细节不多，比如我没看到那几个dll的父级调用者是谁

BE_HC

lifan88 发表于 2020-3-13 11:43
你得去找到老版本有0day的卡巴测试测试但是可能论文里细节不多，比如我没看到那几个dll的父级调用 ...

我一眼扫下来只看到提到两个dll（有MD5）和一个MSI
卡巴提到一个主样本，这个应该是dropper来的

1. https://www.hybrid-analysis.com/sample/8319fca5e7fca0023fcd88945545732d7fdbf863b7a13eea8aac69a903f82c9c?environmentId=100

复制代码

lifan88

BE_HC 发表于 2020-3-13 11:59
我一眼扫下来只看到提到两个dll（有MD5）和一个MSI
卡巴提到一个主样本，这个应该是dropper来的

那个截断卡巴和驱动通信的dll没给？