查看: 2637|回复: 35
收起左侧

[病毒样本] MBRlock #packed VT首次扫描:16/68

[复制链接]
00006666
发表于 2021-8-19 17:22:34 | 显示全部楼层 |阅读模式
本帖最后由 00006666 于 2021-8-19 19:38 编辑

https://ws28.cn/f/66rlvbt3jxs      密码:16669829





虚拟机中测试,运行后手动重启虚拟机




360   虚拟机双击测试,拦截样本修改MBR行为



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

00006666
 楼主| 发表于 2021-8-19 19:22:09 | 显示全部楼层
智量   虚拟机断网锁库双击  防御失败

样本运行过程中主防无响应,虚拟机重启后不能进入系统






火绒   扫描miss




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
 楼主| 发表于 2021-8-19 21:34:47 | 显示全部楼层
本帖最后由 00006666 于 2021-8-19 22:01 编辑
jdsh 发表于 2021-8-19 21:11
WIN7系统,可重现

我这里测试智量,主防没有任何提示

你看一下我在测试过程中录的视频:

https://pan.baidu.com/s/1xHZ9ed2Kb5SA_QaS22nzYw    提取码:pjhu

@swizzer @heavencc @智量官方


eternity.
发表于 2021-8-19 22:00:18 | 显示全部楼层
本帖最后由 eternity. 于 2021-8-19 22:04 编辑
00006666 发表于 2021-8-19 21:34
我这里测试智量,主防没有任何提示,你看一下我录的视频

https://pan.baidu.com/s/1xHZ9ed2Kb5SA_QaS2 ...

测试了一下发现应该是「锁库」导致的。

在 Windows 7 断网环境下安装了 3.01 Beta 版。
开启所有防护的情况下运行样本智量无反应。
重启后发现 MBR 被篡改。

恢复系统环境安装智量并联网手动执行一次更新。
关闭基础防护后运行样本智量可拦截(WIBD:HEUR.DiskWriter.A)。
重启后可正常进入系统。
swizzer
发表于 2021-8-20 08:37:28 | 显示全部楼层
本帖最后由 swizzer 于 2021-8-20 08:47 编辑
00006666 发表于 2021-8-19 22:03
emmm如果是新样本没有入库的,主防不就没有反应了………

要说的话主防模型也是需要更新的我不确定智量识别DiskWriter时是否也将写入扇区的数据投喂给了模型,如果是这样的话被过也不算太出乎意料···
而且智量主防的拦截有过很多次因系统而异的情况···你在这个样本上就看到了MBRWriter和DiskWriter两种报法,以前还有一个机器上报Ransom另一个上面报PEObfuscator的......也许在Win7 上没发挥全部功力?也未可知···


而且如果我没记错,以前智量从2.5升到2.7时,这个识别DiskWriter的模型还短暂失效过(似乎是模型训练时有失误),后来更新了主防模型才OK



不过至于你说的没入库主防就没反应······只能说这个帖子里的样本是特殊情况吧。。从你的测试来看这个样本甚至没有触发智量的单步HIPS
按我以往的经验,我锁库用MBRLocker测试智量时只遇到过一次没有成功防御,(似乎是因为那个样本使用了NtWriteFile而没有直接访问磁盘)


我也很想知道这个帖子里的样本是为何绕过了智量的防御(也许正如我在上面猜测的那样?)@智量官方



智量官方
发表于 2021-8-20 10:14:57 | 显示全部楼层
swizzer 发表于 2021-8-20 08:37
要说的话主防模型也是需要更新的我不确定智量识别DiskWriter时是否也将写入扇区的数据投喂给了模型 ...

感谢楼上各位同学的测试, 这个样本在Win10和Win7的作用是一样的,没有在什么系统下才发作的问题.
经测试是智量3.01 Beta版有一个BUG,会导致MBR防护在某些条件下失效,2.73没有这个问题,所以未入库也可以拦截。
另外我们没有见过MBRLocker没有成功防御的情况, 智量防护MBR写入是在驱动层拦截,所以它即使使用NtWriteFile也可以防范的. 我们已经在3.02版中修复了此问题.

评分

参与人数 2人气 +3 收起 理由
swizzer + 2 感谢提供分享
www-tekeze + 1 感谢解答: )

查看全部评分

00006666
 楼主| 发表于 2021-8-20 13:30:20 | 显示全部楼层
2021/8/20   13:26更新

火绒扫描MISS    虚拟机双击测试:  防御失败


测试全过程的录屏已经上传网盘

https://pan.baidu.com/s/1bzpYOGGRZYeTx8nT_tthjA       提取码:qa2u




正在缓冲
头像被屏蔽
发表于 2021-8-19 17:27:21 | 显示全部楼层
Avast
Win32:Evo-gen[Susp]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Shake2333
发表于 2021-8-19 17:33:35 | 显示全部楼层
eset

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
eternity.
发表于 2021-8-19 17:35:20 | 显示全部楼层
Packed by VMProtect.

To ESET.
mogu6666
发表于 2021-8-19 17:41:07 | 显示全部楼层
卡巴斯基与联想电脑管家miss
KSN报未知


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2021-8-19 17:45:09 | 显示全部楼层
本帖最后由 ANY.LNK 于 2021-8-19 17:46 编辑

Microsoft Defender:触发自动上报,当前报告为Trojan:Win32/Wacatac.B!ml
泉州晋江
头像被屏蔽
发表于 2021-8-19 17:59:42 | 显示全部楼层
卡巴斯基双击没出现重启没问题,但是住房也没反应
dreams521
发表于 2021-8-19 18:01:32 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
 楼主| 发表于 2021-8-19 18:03:06 | 显示全部楼层
泉州晋江 发表于 2021-8-19 17:59
卡巴斯基双击没出现重启没问题,但是住房也没反应

WIN7系统虚拟机,右键管理员权限运行,运行后手动重启虚拟机,然后看一下能不能进入系统。
泉州晋江
头像被屏蔽
发表于 2021-8-19 18:04:55 | 显示全部楼层
00006666 发表于 2021-8-19 18:03
WIN7系统虚拟机,右键管理员权限运行,运行后手动重启虚拟机,然后看一下能不能进入系统。

下次在来
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 16:31 , Processed in 0.144386 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表