染毒环境清除测试第二期---另一个来自2018年的高对抗性Rootkit

00006666

本期测试样本来自2018年，属于典型的rootkit类样本，具有极强的内核对抗能力，其具有驱动程序文件名与位置随机变化的特点，并且会阻止tdsskiller与pchunter等安全工具的正常运行，此样本亦会阻止多款安全软件的正常运行。


测试环境：win7  企业版  64位系统


测试样本：https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2211328&pid=49032345

感谢@tdsskiller 所提供的待测样本。

测试环境准备:此样本捆绑于一款正常软件中，在虚拟机环境中执行样本，点击安装包运行，待安装结束后，tdsskiller不能正常进行扫描，pchunter运行即闪退，确认待测样本执行成功。


         


该样本驱动程序文件名与位置会随机变化，经确认，在本次测试环境中的样本驱动文件名为  cghehkor.sys  ycfilp.sys  vzcfim.sys  测试期间将使用同一虚拟机快照。


  


测试方法：于染毒环境中安装待测杀毒软件，安装成功后执行扫描，并按提示进行多次重启与扫描，统计结果，判定是否查杀成功。

判定标准为样本驱动是否成功清除，已知被样本阻止的安全工具能否运行。

经确认PYARK可以在样本运行的染毒环境正常工作，在测试中将使用PYARK判定样本驱动是否成功清除。


下面进入正式测试：


一号选手---诺顿强力清除工具            结果：失败


NPE在测试环境中第一次扫描正常进行，未检出样本驱动，按提示进行重启后扫描即显示内部错误。


   


二号选手---卡巴斯基  KVRT                结果：成功

KVRT经过多次扫描后成功清除样本。


        


三号选手---360系统急救箱              结果：成功

360系统急救箱经过多次扫描后成功清除样本，已知被样本阻止的安全工具可正常运行。


           


四号选手---小红伞                   结果：失败

小红伞在测试环境中可安装，但不能启动进程，双击主程序无反应。



五号选手---火绒专杀工具        结果：成功


火绒专杀工具成功清除样本。


   


六号选手---火绒安全软件          结果：失败

火绒安全软件在测试环境中可安装，但不能启动进程，双击主程序无反应。


七号选手---ESET              结果：失败

ESET在测试环境中安装失败。


八号选手---360杀毒         结果：失败

360杀毒未检出样本，于ARK工具中仍可看到样本驱动。


  


九号选手---智量            结果：失败

智量未检出样本，并且在扫描中显示已停止工作，点击关闭程序后扫描仍在进行，但很快就结束扫描。


   


十号选手---卡巴斯基安全软件              结果：成功

卡巴斯基安全软件成功清除样本。


         


十一号选手---瑞星              结果：失败

瑞星全盘扫描未检出样本驱动。




十二号选手---金山                结果：失败

金山于测试环境中启动失败。


  


十三号选手---金山顽固木马专杀          结果：失败

金山顽固木马专杀未检出任何威胁项目。





十四号选手---微点佰慧安全杀毒软件            结果：失败

微点杀毒于测试环境中进行扫描，扫描过程中会闪退。


十五号选手---江民杀毒                               结果：失败

江民杀毒测试环境中进行扫描，扫描过程中会闪退。


十六号选手---ESET Online Scanner             结果：失败

ESET Online Scanner 未能成功识别样本。





十七号选手---Emsisoft Emergency Kit               结果：失败

Emsisoft Emergency Kit未能成功识别样本。


  


十八号选手---Loaris Trojan Remover           结果：失败

Loaris Trojan Remover未能成功识别样本。


   

十九号选手---Glary Malware Hunter            结果：失败

Glary Malware Hunter 于测试环境中运行后闪退。


二十号选手---UnHackMe                            结果：失败

UnHackMe未能成功识别样本。


  

二十一号选手---IObit Malware Fighter                结果：失败

IObit Malware Fighter未能成功识别样本。

ANY.LNK

Microsoft Defender正常测试：
安装完rootkit重启后，快速扫描发现drivers目录下的母体驱动，提示重启，重启完后驱动被隔离，再次扫描复生。
尝试使用脱机版，脱机版成功发现威胁并清除，重启，驱动未复生。全盘扫描再次发现2个威胁，一个tmp，一个sys，清除后系统无异常。TDSSKiller可正常扫描，pchunter可正常打开主页面

ANY.LNK

Microsoft Defender（ELAM级别开最高）测试：
安装完rootkit后重启，可以看到3个驱动都已加载
此时扫描测试，发现的reg和上次的不一样，驱动也变了，这里纠正我之前的一个错误，母体驱动是完全随机名的，不是pci<xxxx>.sys。在本次测试中处理威胁时出现了系统异常关机重启，母体驱动名无变化，可确定之前母体驱动是被删除后又被其它驱动关机回写所复生。先处理reg会导致系统蓝屏重启，仅处理母体驱动会被另外的驱动回写复生，并导致两个驱动在下一次重启后更名再加载

这些驱动互相保护。本次测试同样出现了驱动被清除后复生的情况，因此使用和普通ELAM的方法一样使用脱机版扫描清除
PS：母体驱动和换过文件头的驱动加载的非常早，甚至在微软的WdFilter.sys之前

00006666

Jerry.Lin 发表于 2021-7-4 20:56
大蜘蛛试一下

刚才测试了GDATA（完整版安装包）和Dr.Web CureIt，都是于测试环境中运行后闪退，进程启动几秒后就被结束，与运行pchunter的情况相同。

ANY.LNK

从其中一个驱动中提取得到的大量有关安全软件和安全工具的信息，表明可能会根据名字攻击杀软，此外还有注册表和服务项信息

a27573

@00006666

Hyper-V 虚拟机 开启安全启动
Windows LTSC 2019 17763.2028 x64



圈出来的疑似 Rootkit 注册的 Filter

重启后进入自动修复


重启又蓝屏
然后


关掉安全启动之后仍然

放弃测试

heavencc

360急救箱，yyds

小新爱打小怪兽

eset果然在带毒环境安装就是一个弟弟。。。哎

救命稻草

楼主可以试试Windows清理助手，这个以前还挺厉害的，不过很久没更新了。

yy688go

不明觉厉，顶帖支持。

心心相印

卡巴斯基很强嘛，红伞还清除不了

a27573

ANY.LNK 测试过程中还发现了一个exe和sys
https://bbs.kafan.cn/forum.php?m ... 28&pid=49036620
楼主你那边有吗？

00006666

a27573 发表于 2021-7-4 19:08
ANY.LNK 测试过程中还发现了一个exe和sys
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&pt ...

这个样本有一个EXE和三个驱动，都是随机名字的。

a27573

00006666 发表于 2021-7-4 19:12
这个样本有一个EXE和三个驱动，都是随机名字的。

KVRT扫完之后有没有剩下那两个东西？
那两个东西KVRT应该扫不出来。
但其他组件被杀之后应该就不会加载了。

00006666

a27573 发表于 2021-7-4 19:14
KVRT扫完之后有没有剩下那两个东西？
那两个东西KVRT应该扫不出来。

KVRT和其他的几个成功的杀软都是清除了主驱动，该样本只有一个是主驱动，清除主驱动后，样本实际上是停止运行的，剩余的文件可以通过其他方式删除。