WannaRen在虚拟机中成功运行的方法

显示全部楼层 · 发表于 2020-4-10 18:35:53

病毒探索者发表于 2020-4-10 18:32
OSA似乎是漏洞利用拦截
那ESET为什么没拦？有点失望啊。。。

不是漏洞利用
OSA是拦了winword的命令行
HMPA是拦了加载dll

显示全部楼层 · 发表于 2020-4-10 18:36:28

驭龙发表于 2020-4-10 18:33
没听说这是漏洞利用啊？我最近没有关照这病毒，不清楚

我是看小东西OSA拦截的规则的，反Word漏洞利用（好像是），可以看前面我测的OSA
好吧，也许是我错了...

显示全部楼层 · 发表于 2020-4-10 18:38:50

a27573 发表于 2020-4-10 18:35
不是漏洞利用
OSA是拦了winword的命令行
HMPA是拦了加载dll

那请问“Anti Exploit Microsoft Word”怎么理解呢？

显示全部楼层 · 发表于 2020-4-10 18:40:42

病毒探索者发表于 2020-4-10 18:36
我是看小东西OSA拦截的规则的，反Word漏洞利用（好像是），可以看前面我测的OSA
好吧，也许是我错了...
...

这个不算漏洞利用，但可以做到漏洞利用可以做到的事

其实ESET的漏洞利用防护防的是文档的漏洞利用，不防其他文件夹下的白加黑

显示全部楼层 · 发表于 2020-4-10 18:41:56

a27573 发表于 2020-4-10 18:40
这个不算漏洞利用，但可以做到漏洞利用可以做到的事

其实ESET的漏洞利用防护防的是文档的漏洞利用， ...

了解了，
看来白加黑这种还是很难拦截啊...

显示全部楼层 · 发表于 2020-4-10 18:44:12

本帖最后由 a27573 于 2020-4-10 18:46 编辑

病毒探索者发表于 2020-4-10 18:38
那请问“Anti Exploit Microsoft Word”怎么理解呢？

这条OSA规则是阻止任何winword.exe调用的命令行，是有道理的
但这个winword.exe不在平常的位置（Program Files里面），而且是白加黑，不是一般意义上的文档漏洞利用，ESET的漏洞利用阻止程序没有被设计用来防止这种情况

可惜ESET的HIPS不支持通配符，否则可以自己添加规则实现（但还是可以通过改名等方式绕过）

显示全部楼层 · 发表于 2020-4-10 18:49:54

a27573 发表于 2020-4-10 18:44
这条OSA规则是阻止任何winword.exe调用的命令行，是有道理的
但这个winword.exe不在平常的位置（Program ...

其实手动查看还是可以防住的，这个word的签名07年就过期了

显示全部楼层 · 发表于 2020-4-10 18:57:20

K560987 发表于 2020-4-10 18:49
其实手动查看还是可以防住的，这个word的签名07年就过期了

这里是你自己手动运行的，但真实中招是脚本安排的

显示全部楼层 · 发表于 2020-4-10 19:00:24

a27573 发表于 2020-4-10 18:57
这里是你自己手动运行的，但真实中招是脚本安排的

有道理

显示全部楼层 · 发表于 2020-4-10 20:27:33

微点2月毒库，全程无提示，成功加密

[其他相关] WannaRen在虚拟机中成功运行的方法

本帖子中包含更多资源