查看: 1507|回复: 10
收起左侧

[其他相关] 【2012-2020/挖坟/卡巴黑历史】你以为你的杀毒是来防毒的?自0day安排就完事了XD

[复制链接]
lifan88
发表于 2020-3-13 01:03:04 | 显示全部楼层 |阅读模式
本帖最后由 lifan88 于 2020-3-13 01:08 编辑

PS:这件事情不是针对卡巴,而且对于所有杀软而言:外攻可防,内贼难擒,千里之堤溃于蚁穴的经典例子

你以为你的防火墙百毒不侵,然后被APT-duqu给安排了。。。

https://media.kasperskycontenthu ... e_actor_returns.pdf

自身漏洞全家升天插入杀软的r3-r0通信,直接利用杀软驱动干活

这就是安全强度极高的杀软公司会被入侵的原因

推荐各位新来小伙多学习学习,多看看文章,引用文章也多看看









深夜,来了卡饭10年快11年了,有感而发,新人应该多了解一些东西,不要总是局限于扫描。

看到现在新人有很多像10年前的我一样萌新,而且还是处于学习的年龄,推荐要是真的有兴趣,推荐自学c艹,慢慢了解逆向,去感受这一行的魅力,要是真喜欢内核/驱动的话,UC论坛推荐给萌新一个学习路子:
https://www.learncpp.com
还有一本专门讲windows os的书,微软出的:Windows Internals 7
Warn:不要歧视英语,到你想用的时候不要连用都不会了,我小学扔掉英语书,撕掉英语书,结果本科背的眼泪都出来了现在深造了才知道年少多彩笔,需要社会的毒打才知道悔改,但是本科的时候重新学英语真的难受。。。

ps:我不太清楚推荐上面两个是那帮人玩梗还是真心提示原谅我英语垃圾

评分

参与人数 1人气 +1 收起 理由
小Q机器人 + 1 精品文章

查看全部评分

小Q机器人
发表于 2020-3-13 01:28:15 | 显示全部楼层
只想问大神,你用什么防御装备?
BE_HC
发表于 2020-3-13 07:51:17 | 显示全部楼层
去hybrid找了找
自带英语天赋的路过
  1. YARA signature "apt_duqu2_loaders" classified file "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192.bin" as "apt,duqu,duqu2" based on indicators: "530045004c0045004300540020006000440061007400610060002000460052004f004d0020006000420069006e006100720079006000200057004800450052004500200060004e0061006d00650060003d00270025007300250069002700,MSI.dll,msi.dll,StartAction"
  2. YARA signature "APT_Kaspersky_Duqu2_procexp" classified file "8e97c371633d285cd8fc842f4582705052a9409149ee67d97de545030787a192.bin" as "apt,duqu,duqu2" based on indicators: "7300760063006d00730069005f00330032002e0064006c006c00,MSI.dll,530045004c0045004300540020006000440061007400610060002000460052004f004d0020006000420069006e006100720079006000200057004800450052004500200060004e0061006d00650060003d00270025007300250069002700,53007900730069006e007400650072006e0061006c007300200069006e007300740061006c006c0065007200,500072006f00630065007300730020004500780070006c006f00720065007200" (Reference: https://goo.gl/7yKyOj, Author: Florian Roth)
  3. YARA signature "apt_duqu2_loaders" classified file "all.bstring" as "apt,duqu,duqu2" based on indicators: "SELECT `Data` FROM `Binary` WHERE `Name`='%s%i',MSI.dll,msi.dll,StartAction"
  4. YARA signature "APT_Kaspersky_Duqu2_procexp" classified file "all.bstring" as "apt,duqu,duqu2" based on indicators: "svcmsi_32.dll,MSI.dll,SELECT `Data` FROM `Binary` WHERE `Name`='%s%i',Sysinternals installer,Process Explorer" (Reference: https://goo.gl/7yKyOj, Author: Florian Roth)
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
杀软病综合医院
发表于 2020-3-13 08:07:00 | 显示全部楼层
我的英语水平停留在 what is your name
a27573
发表于 2020-3-13 09:07:12 | 显示全部楼层
本帖最后由 a27573 于 2020-3-13 09:19 编辑

C++如果不求面面俱到或者精通,也就是学到能用的话,还算简单
然而逆向真的麻烦,内核方面更加

对于有一定编程基础的人(比如我学过pascal),《C++ Primer》就不错
不过《C++ Primer》几乎只讲语言,https://www.learncpp.com 从配置环境开始手把手教学确实比较适合新手


本人OIer
傲普斯顿
发表于 2020-3-13 10:33:37 | 显示全部楼层
我的英语  怎么说的   就是看文章  翻译东西很牛逼  笔试哄哄的   一到听力就歇菜  乌利瓦拉的不知说些什么  到现在很多单词都知道意思会用却不会读
lifan88
 楼主| 发表于 2020-3-13 11:28:16 | 显示全部楼层
小Q机器人 发表于 2020-3-13 01:28
只想问大神,你用什么防御装备?

保密了,推荐大厂作品,但是国内只有360。。
lifan88
 楼主| 发表于 2020-3-13 11:43:23 | 显示全部楼层
BE_HC 发表于 2020-3-13 07:51
去hybrid找了找
自带英语天赋的路过

你得去找到老版本有0day的卡巴测试测试但是可能论文里细节不多,比如我没看到那几个dll的父级调用者是谁
BE_HC
发表于 2020-3-13 11:59:15 | 显示全部楼层
lifan88 发表于 2020-3-13 11:43
你得去找到老版本有0day的卡巴测试测试但是可能论文里细节不多,比如我没看到那几个dll的父级调用 ...

我一眼扫下来只看到提到两个dll(有MD5)和一个MSI
卡巴提到一个主样本,这个应该是dropper来的

  1. https://www.hybrid-analysis.com/sample/8319fca5e7fca0023fcd88945545732d7fdbf863b7a13eea8aac69a903f82c9c?environmentId=100
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
 楼主| 发表于 2020-3-13 12:34:35 | 显示全部楼层
BE_HC 发表于 2020-3-13 11:59
我一眼扫下来只看到提到两个dll(有MD5)和一个MSI
卡巴提到一个主样本,这个应该是dropper来的

那个截断卡巴和驱动通信的dll没给?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 23:26 , Processed in 0.143907 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表