#APT #Lazarus (2020-06)

心醉咖啡

毒霸云鉴定

1. 扫描时间：[2020-06-23 22:04:38]
   
2. 扫描用时：[00:00:03]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：1
   
5. 扫描速度：1文件/秒
   
6. 发现威胁：1个
   
7. 清除威胁：1个
   
8. =============================================
   
9. [2020-06-23 22:04:46]
   
10. 威胁：e:\浏览器下载\4687954\base64decoded.dll
    
11. 类型：win32.troj.generic_a.a.(kcloud)
    
12. 处理方式：删除
    
13. 
    

复制代码

川建国代理人

火绒扫描miss 管家扫描miss

swizzer

锁库智量（6.20的库）占位

高敏感启发下报Heur.ML.PE.E,标准启发扫描不报。
双击ing···

等待7min，mspaint已经跑起来，但火绒剑监控下未见明显恶意行为，主防无反应。
@智量官方

智量官方

swizzer 发表于 2020-6-23 22:37
锁库智量（6.20的库）占位

高敏感启发下报Heur.ML.PE.E,标准启发扫描不报。

感谢测试, 这个mspaint.exe中确实存在恶意代码, 我们会调整内存检测模型应对此类攻击

FD丶纸鸢

FSCS13 miss

swizzer

智量官方 发表于 2020-6-23 23:32
感谢测试, 这个mspaint.exe中确实存在恶意代码, 我们会调整内存检测模型应对此类攻击

请问官人，MEMRAY不是会扫描所有新分配的内存页吗···

暗_黑

智量官方

swizzer 发表于 2020-6-24 22:10
请问官人，MEMRAY不是会扫描所有新分配的内存页吗···

是会扫描。但不可能保证100%查杀率。
不过，由于我们的检测不依赖于特征，所以稍微调整一下模型就会检测出一大批。

swizzer

智量官方 发表于 2020-6-25 14:56
是会扫描。但不可能保证100%查杀率。
不过，由于我们的检测不依赖于特征，所以稍微调整一下模型就会检测 ...

感谢解答~主要是上一个同家族的#Lazarus被内存防护侦测到了而这个绕过，我还以为这次是内存防护没扫到对应内存页呢···