查看: 17435|回复: 79
收起左侧

[分享] 染毒环境清除测试第二期---另一个来自2018年的高对抗性Rootkit

  [复制链接]
00006666
发表于 2021-7-4 16:16:37 | 显示全部楼层 |阅读模式
本帖最后由 00006666 于 2021-7-6 11:14 编辑

本期测试样本来自2018年,属于典型的rootkit类样本,具有极强的内核对抗能力,其具有驱动程序文件名与位置随机变化的特点,并且会阻止tdsskiller与pchunter等安全工具的正常运行,此样本亦会阻止多款安全软件的正常运行。


测试环境:win7  企业版  64位系统


测试样本:https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2211328&pid=49032345

感谢@tdsskiller 所提供的待测样本。

测试环境准备:此样本捆绑于一款正常软件中,在虚拟机环境中执行样本,点击安装包运行,待安装结束后,tdsskiller不能正常进行扫描,pchunter运行即闪退,确认待测样本执行成功。


         


该样本驱动程序文件名与位置会随机变化,经确认,在本次测试环境中的样本驱动文件名为  cghehkor.sys  ycfilp.sys  vzcfim.sys  测试期间将使用同一虚拟机快照。


  


测试方法:于染毒环境中安装待测杀毒软件,安装成功后执行扫描,并按提示进行多次重启与扫描,统计结果,判定是否查杀成功。

判定标准为样本驱动是否成功清除,已知被样本阻止的安全工具能否运行。

经确认PYARK可以在样本运行的染毒环境正常工作,在测试中将使用PYARK判定样本驱动是否成功清除。


下面进入正式测试:


一号选手---诺顿强力清除工具            结果:失败


NPE在测试环境中第一次扫描正常进行,未检出样本驱动,按提示进行重启后扫描即显示内部错误。


   


二号选手---卡巴斯基  KVRT                结果:成功

KVRT经过多次扫描后成功清除样本。


        


三号选手---360系统急救箱              结果:成功

360系统急救箱经过多次扫描后成功清除样本,已知被样本阻止的安全工具可正常运行。


           


四号选手---小红伞                   结果:失败

小红伞在测试环境中可安装,但不能启动进程,双击主程序无反应。



五号选手---火绒专杀工具        结果:成功


火绒专杀工具成功清除样本。


   


六号选手---火绒安全软件          结果:失败

火绒安全软件在测试环境中可安装,但不能启动进程,双击主程序无反应。


七号选手---ESET              结果:失败

ESET在测试环境中安装失败。


八号选手---360杀毒         结果:失败

360杀毒未检出样本,于ARK工具中仍可看到样本驱动。


  


九号选手---智量            结果:失败

智量未检出样本,并且在扫描中显示已停止工作,点击关闭程序后扫描仍在进行,但很快就结束扫描。


   


十号选手---卡巴斯基安全软件              结果:成功

卡巴斯基安全软件成功清除样本。


         


十一号选手---瑞星              结果:失败

瑞星全盘扫描未检出样本驱动。




十二号选手---金山                结果:失败

金山于测试环境中启动失败。


  


十三号选手---金山顽固木马专杀          结果:失败

金山顽固木马专杀未检出任何威胁项目。





十四号选手---微点佰慧安全杀毒软件            结果:失败

微点杀毒于测试环境中进行扫描,扫描过程中会闪退。


十五号选手---江民杀毒                               结果:失败

江民杀毒测试环境中进行扫描,扫描过程中会闪退。


十六号选手---ESET Online Scanner             结果:失败

ESET Online Scanner 未能成功识别样本。





十七号选手---Emsisoft Emergency Kit               结果:失败

Emsisoft Emergency Kit未能成功识别样本。


  


十八号选手---Loaris Trojan Remover           结果:失败

Loaris Trojan Remover未能成功识别样本。


   

十九号选手---Glary Malware Hunter            结果:失败

Glary Malware Hunter 于测试环境中运行后闪退。


二十号选手---UnHackMe                            结果:失败

UnHackMe未能成功识别样本。


  

二十一号选手---IObit Malware Fighter                结果:失败

IObit Malware Fighter未能成功识别样本。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7技术 +1 分享 +3 魅力 +1 人气 +14 收起 理由
白露为霜 + 1 2021年多篇优秀原创测评贴合并奖励
BBCALL + 1 版区有你更精彩: )
4毛5的诺顿 + 3 版区有你更精彩: )
屁颠屁颠 + 3 + 1 + 3 版区有你更精彩: )
henry217 + 1 看来360驱动对抗挺厉害

查看全部评分

ANY.LNK
发表于 2021-7-4 20:26:12 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-4 22:13 编辑

Microsoft Defender正常测试:
安装完rootkit重启后,快速扫描发现drivers目录下的母体驱动,提示重启,重启完后驱动被隔离,再次扫描复生。
尝试使用脱机版,脱机版成功发现威胁并清除,重启,驱动未复生。全盘扫描再次发现2个威胁,一个tmp,一个sys,清除后系统无异常。TDSSKiller可正常扫描,pchunter可正常打开主页面

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-7-4 22:02:41 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-7-4 22:05 编辑

Microsoft Defender(ELAM级别开最高)测试:
安装完rootkit后重启,可以看到3个驱动都已加载
此时扫描测试,发现的reg和上次的不一样,驱动也变了,这里纠正我之前的一个错误,母体驱动是完全随机名的,不是pci<xxxx>.sys。在本次测试中处理威胁时出现了系统异常关机重启,母体驱动名无变化,可确定之前母体驱动是被删除后又被其它驱动关机回写所复生。先处理reg会导致系统蓝屏重启,仅处理母体驱动会被另外的驱动回写复生,并导致两个驱动在下一次重启后更名再加载

这些驱动互相保护。本次测试同样出现了驱动被清除后复生的情况,因此使用和普通ELAM的方法一样使用脱机版扫描清除
PS:母体驱动和换过文件头的驱动加载的非常早,甚至在微软的WdFilter.sys之前

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
 楼主| 发表于 2021-7-5 19:06:58 | 显示全部楼层
本帖最后由 00006666 于 2021-7-5 20:05 编辑

刚才测试了GDATA(完整版安装包)和Dr.Web CureIt,都是于测试环境中运行后闪退,进程启动几秒后就被结束,与运行pchunter的情况相同。
ANY.LNK
发表于 2021-7-6 10:58:37 | 显示全部楼层
从其中一个驱动中提取得到的大量有关安全软件和安全工具的信息,表明可能会根据名字攻击杀软,此外还有注册表和服务项信息

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
00006666 + 3 感谢解答: )

查看全部评分

a27573
发表于 2021-7-19 21:31:34 | 显示全部楼层
本帖最后由 a27573 于 2021-7-19 22:25 编辑

@00006666

Hyper-V 虚拟机 开启安全启动
Windows LTSC 2019 17763.2028 x64



圈出来的疑似 Rootkit 注册的 Filter

重启后进入自动修复


重启又蓝屏
然后


关掉安全启动之后仍然

放弃测试







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
heavencc
发表于 2021-7-4 16:33:09 | 显示全部楼层
360急救箱,yyds
小新爱打小怪兽
发表于 2021-7-4 17:40:01 | 显示全部楼层
eset果然在带毒环境安装就是一个弟弟。。。哎
救命稻草
发表于 2021-7-4 17:55:03 | 显示全部楼层
楼主可以试试Windows清理助手,这个以前还挺厉害的,不过很久没更新了。
yy688go
发表于 2021-7-4 17:58:04 | 显示全部楼层
不明觉厉,顶帖支持。
心心相印
发表于 2021-7-4 18:47:39 | 显示全部楼层
卡巴斯基很强嘛,红伞还清除不了
a27573
发表于 2021-7-4 19:08:58 | 显示全部楼层
ANY.LNK 测试过程中还发现了一个exe和sys
https://bbs.kafan.cn/forum.php?m ... 28&pid=49036620
楼主你那边有吗?
00006666
 楼主| 发表于 2021-7-4 19:12:31 | 显示全部楼层

这个样本有一个EXE和三个驱动,都是随机名字的。
a27573
发表于 2021-7-4 19:14:28 | 显示全部楼层
00006666 发表于 2021-7-4 19:12
这个样本有一个EXE和三个驱动,都是随机名字的。

KVRT扫完之后有没有剩下那两个东西?
那两个东西KVRT应该扫不出来。
但其他组件被杀之后应该就不会加载了。

00006666
 楼主| 发表于 2021-7-4 19:16:36 | 显示全部楼层
a27573 发表于 2021-7-4 19:14
KVRT扫完之后有没有剩下那两个东西?
那两个东西KVRT应该扫不出来。

KVRT和其他的几个成功的杀软都是清除了主驱动,该样本只有一个是主驱动,清除主驱动后,样本实际上是停止运行的,剩余的文件可以通过其他方式删除。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:29 , Processed in 0.154354 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表