查看: 38717|回复: 158
收起左侧

[技术原创] 【终章,基于微软评估实验室的测试】专业治疗杀软综合征

  [复制链接]
vaedzy
头像被屏蔽
发表于 2021-12-30 22:58:28 | 显示全部楼层 |阅读模式
本帖最后由 vaedzy 于 2022-1-23 01:44 编辑

前文回顾:
第一章写了各个杀软的最低入正价格与渠道。
第二章写了各个杀软在网页加载、内存占用、磁盘占用、安装日常软件以及扫描速度的情况。
第三章写了各个杀软在入库方面的比拼,也就是家庭中能见到的病毒。


快速阅读:
【第一章,入正价格篇】专业治疗杀软综合征
【第二章,日常与占用篇】专业治疗杀软综合征

【第三章,家用环境的扫描、查杀、双击与修复】专业治疗杀软综合征



上次第三章本来想写成终章,但因为样本太老了,拼入库实在没意思就改成了家用环境。这次应该终章了,这一次测试由@a27573 告知的可以尝试使用Microsoft Defender for Endpoint 评估实验室试试。本人就去进行了购买。价格就不说了,反正不是家用产品。
其实测试嘛,要求的是可复现,可记录,可追溯。这次测试完全可以做到以上三点。

在此特别感谢@aiqinghe @anthonyqian @Eset小粉絲 @ICzcz @onedrive @隔山打空气 @a27573 一起进行了一天两夜的测试。

已对上述7个好兄弟授权1年的Microsoft E5 Enterprise Edition
补档:感谢@Jerry.Lin 的提醒,在大蜘蛛有防火墙与无防火墙情况下的提醒,也感谢进行了一晚的测试。大蜘蛛有墙无墙测试均已补充。
已对@Jerry.Lin 好兄弟授权1年的Microsoft E5 Enterprise Edition。

测试内容:
持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、代码执行、已知的勒索软件感染、Carbanak 和 FIN7、Solorigate。






测试杀软: 卡巴斯基、ESET、诺顿、BitDefender个人版、迈克菲、Avast、F-Secure、G-Data、360安全卫士(二测全家桶)、智量
测试内容:如上所述。
测试环境:Microsoft Defender for Endpoint 评估实验室 提供的云服务器 (全组件Windows10)
测试机位:
1号靶机卡巴斯基,ESET (靶机操作员:aiqinghe,执行攻击者:vaedzy)
2号靶机诺顿(靶机操作员:anthonyqian,执行攻击者:anthonyqian)
3号靶机迈克菲 (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
4号靶机BitDefender个人版(靶机操作员:aiqinghe,执行攻击者:vaedzy)
5号靶机F-Secure(靶机操作员:onedrive ,执行攻击者:vaedzy)
6号靶机:Avast,G-Data (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
7号靶机诺顿 (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
8号靶机360 (靶机操作员:隔山打空气 ,执行攻击者:vaedzy)

新建1号靶机 智量 、火绒(靶机操作员:隔山打空气 ,执行攻击者:vaedzy)

新建2号靶机 360卫士+360杀毒 (靶机操作员:0000666,执行攻击者:vaedzy)

测试原则:每一个杀软走一遍完整的攻击流程,如果出现alert,也就是被Microsoft Defender for Endpoint EDR组件与AIR组件检测到了,则为漏毒。全程靶机操作员与攻击者均有记录,且测试账号如有需要可公开追溯。

备注:由于靶机位紧张,若杀软防护住且靶机可以重复使用的情况下则重复使用。
下图中攻击情况,已完成是执行完成,并不是指代攻击成功。以下结果均是主杀默认配置,杀软日志等待各个靶机操作员上传,MDE检测详情信息正在上传。



以下测试有概率可能出现操作有问题,或者杀软没有完全夺舍MDE使得结果有误。若有疑问,可私信我拿到测试机位,重新测试。


1.卡巴斯基

攻击日志与MDE检测:

全防护


杀软日志:直达


2.ESSP
攻击日志与MDE检测:



检测到的是:持久性方法、防卫规避技术

杀软日志:由于ESET默认安装后是关闭远程连接的,所以全程是无人值守进行攻击的。因此没有日志。


3.诺顿

检测到的是:防卫规避技术、APT29、凭据盗取、OS配置修改、Carbanak 和 FIN7、Solorigate、已知的勒索软件感染、代码执行




杀软日志:3楼跳转  


4.迈克菲

检测到的是:全部


杀软日志:


5.BitDefender个人版

检测到的是:持久性方法、防卫规避技术、APT29


杀软日志:直达


6.Avast

检测到的是:APT29

杀软日志:直达


7.F-Secure



检测到的是:持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、Carbanak 和 FIN7、Solorigate、代码执行



杀软日志:直达



8.G-Data

检测到的是:全部方法。


杀软日志:直达



9.360 (未开核)



检测到的是:全部方法




杀软日志:5楼直达


10.智量

全部防护(模拟器一直被查杀)


杀软日志:直达

11.360卫士+360杀毒

检测到的是:持久性方法、防卫规避技术

杀软日志:


12.火绒
由于为了测试勒索病毒是否能正常启动,因此关闭了MDE监控。采用的BitDefender企业版的EDR监控,详情请看靶机操作员后续帖子。




13.大蜘蛛
全部拦截



无防火墙版




杀软日志:137楼直达

14.毛豆:

漏掉了 防卫规避技术



15.HitmanPro.Alert

情况比迈克菲还糟糕。属实太多了截图太累。
杀软日志:91楼




靶机情况目前情况:



测试记录的文档:

持久性方法防卫规避技术APT29凭据盗窃OS 配置更改Carbanak 和 FIN7Solorigate已知的勒索软件感染代码执行靶机操作员攻击者
卡巴斯基成功成功成功成功成功成功成功成功成功aiqinghevaedzy
ESET失败失败成功成功成功成功成功成功成功无人值守vaedzy
诺顿成功C杀,但有alerts报毒,但有alerts报毒,但有alerts失败报毒,但有alerts报毒,触发IPS,但有alerts报毒,没有加密,但有alertsSONAR杀,但有alertsanthonyqiananthonyqian
BD个人版失败文件生成/但被拦截网络访问失败成功成功成功成功成功成功aiqinghevaedzy
MDE成功成功成功成功成功成功成功成功成功微软微软
迈克菲失败失败失败失败,拦截但密码窃取成功失败失败失败失败失败anthonyqiananthonyqian
avast成功成功失败成功成功成功成功成功成功aiqinghevaedzy
FS失败,毫无反应失败,毫无反应失败,拦截但侧漏失败,部分拦截且窃取成功失败,部分拦截失败,部分拦截失败,部分拦截成功失败,拦截但侧漏备注:拦截多次要求重启,但恶意操作已被执行onedrivevaedzy
360失败,有拦截提示失败,有拦截提示但无意义失败,毫无反应失败,报告木马,拦截部分服务和部分PS脚本失败,拦截部分PS脚本失败,报告木马,拦截部分PS脚本失败,报告木马,拦截部分网络访问和部分PS脚本失败,完全无反应失败,完全无反应隔山打空气vaedzy
智量成功成功成功成功成功成功成功成功成功隔山打空气vaedzy
GDATA失败失败失败失败失败失败失败失败失败aiqinghevaedzy
火绒未测试未测试失败,检测到木马,拦截镜像劫持失败,发现木马,阻止cmd执行PS脚本失败,拦截镜像劫持失败,伪装的恶意程序与载荷已部署失败,大量阻止恶意网络访问成功,特征杀,白利用被杀失败,部分阻止cmd,但载荷仍被释放隔山打空气vaedzy
360卫士、360杀毒失败失败成功成功成功成功成功成功成功00006666vaedzy
HitmanPro.Alert 3.8.19 Build 923失败失败失败有警告但失败未测试失败失败失败失败a27573vaedzy
comodo成功失败成功成功成功成功成功成功成功全自动vaedzy
大蜘蛛 有墙
无防火墙
成功
失败
成功
失败
成功
失败
成功
失败
成功
成功
成功
失败
成功
失败
成功
失败
成功
失败
全自动
Jerry.Lin  
vaedzy
vaedzy

备注:可能有人会想,为什么这么多杀软失败,是不是MDE与第三方杀软冲突,导致MDE偷跑。在这个问题上,@aiqinghe 已尝试卡巴斯基+MDE,我也尝试过了ESSP+MDE ,在病毒扫描查杀时,如果主杀软拦截,在MDE检测中就不会alert,如果未拦截或者漏毒了,则会alert。这点两个人均已证实。
若需要重新验证,请私聊我。我提供MDE授权以助于实验。

再次声明:本次测试依照MDE的EDR监控为准,以上测试结果均来自MDE的EDR监控alerts,有概率杀软没有完全夺舍MDE核心组件导致全部失败。有疑问可以私聊重新进行测试。


在这里先预祝大家2022年心想事成,万事如意。


最后:入卡饭一个多月,属实让自己得了杀软综合症,看了不少杀软在样本区大杀四方和不少的新技术。后来也入了好多。根本挑不出来谁好谁坏,这四章过去了。答案也就有了,家用还是卡巴斯基是yyds。


全部日志:日志

ESET二测 HIPS开到了智能模式。漏掉的已经处理






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 21原创 +1 分享 +3 人气 +67 收起 理由
HuaYa + 3 精品文章
qq340496302 + 3 精品文章
屁颠屁颠 + 1 + 3 + 2 版区有你更精彩: )
zoumin8796 + 3 精品文章
munsimli + 3 實在是太專業了,不給讚對不起良心

查看全部评分

onedrive
发表于 2021-12-31 11:45:08 来自手机 | 显示全部楼层
本帖最后由 onedrive 于 2021-12-30 20:41 编辑

我是二楼,FS测试的时候,弹窗很频繁,但是对于这种持续攻击均有不同程度的侧漏。

持久性


防卫规避


apt29



Carbanak 和 FIN7



Solorigate



凭据盗窃



已知勒索



代码执行



OS更改


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 新年快乐!

查看全部评分

aiqinghe
发表于 2021-12-31 11:46:28 | 显示全部楼层
本帖最后由 aiqinghe 于 2021-12-31 12:00 编辑

本次测试中参与了Kaspersky、ESET(因为默认阻止远程链接所以只能跑自动了)、Bitdefender、Avast、G-DATA的测试,下方补图
一、卡巴斯基KTS


二、Bitdefender BTS


三、AVAST



四、G-DATA

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +6 收起 理由
dongwenqi + 3 版区有你更精彩: )
vaedzy + 3

查看全部评分

anthonyqian
发表于 2021-12-31 11:49:34 | 显示全部楼层






诺顿部分拦截截图。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +5 收起 理由
隔山打空气 + 2 新年快乐!
vaedzy + 3 感谢好兄弟的测试

查看全部评分

隔山打空气
发表于 2021-12-31 11:53:55 | 显示全部楼层
本帖最后由 隔山打空气 于 2021-12-31 19:56 编辑

360部分拦截图
日志图

附加后查杀

日志都在这里了,有明显时间差的就算隔离开的不同实验

二号实验中由00006666大大操作测试机。具体情况由V大进行补充。




智量拉黑了部分模拟器,所以我们决定关闭实时防护再测。
稍等片刻,我们会尽快安排新的测试。



火绒拦截了本批次所有的勒索病毒攻击...令人难以置信。火绒的通杀做的还是很不错的。热闹非凡的EDR~


抱歉,我们忘记了捕获截图,但下面的压缩包中含有全部的日志。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
vaedzy + 2 分不够了明天在喜加一

查看全部评分

00006666
发表于 2021-12-31 11:57:59 | 显示全部楼层
隔山打空气 发表于 2021-12-31 11:53
360部分拦截图
日志图

勒索防护测试,桌面有放文档吗?
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-31 11:58:42 | 显示全部楼层
00006666 发表于 2021-12-31 11:57
勒索防护测试,桌面有放文档吗?

没用 底层有MDE EDR阻断,漏掉了也不会启动... 具体情况我可以提供溯源
00006666
发表于 2021-12-31 12:00:50 | 显示全部楼层
vaedzy 发表于 2021-12-31 11:58
没用 底层有MDE EDR阻断,漏掉了也不会启动... 具体情况我可以提供溯源

那这其他的不好说,勒索病毒咋知道有没有防护成功……
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-31 12:03:16 | 显示全部楼层
00006666 发表于 2021-12-31 12:00
那这其他的不好说,勒索病毒咋知道有没有防护成功……

有这种日志,我知道正常人懒得看,都丢上来就是看图大会了。需要的话我发给你,你看看

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2021-12-31 12:05:06 | 显示全部楼层
vaedzy 发表于 2021-12-31 12:03
有这种日志,我知道正常人懒得看,都丢上来就是看图大会了。需要的话我发给你,你看看

那这样的话,勒索测试应该是只测试监控,没有测试主防吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 22:32 , Processed in 0.149739 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表