【终章，基于微软评估实验室的测试】专业治疗杀软综合征

vaedzy

前文回顾：
第一章写了各个杀软的最低入正价格与渠道。
第二章写了各个杀软在网页加载、内存占用、磁盘占用、安装日常软件以及扫描速度的情况。
第三章写了各个杀软在入库方面的比拼，也就是家庭中能见到的病毒。

快速阅读：
【第一章，入正价格篇】专业治疗杀软综合征
【第二章，日常与占用篇】专业治疗杀软综合征
【第三章，家用环境的扫描、查杀、双击与修复】专业治疗杀软综合征



上次第三章本来想写成终章，但因为样本太老了，拼入库实在没意思就改成了家用环境。这次应该终章了，这一次测试由@a27573 告知的可以尝试使用Microsoft Defender for Endpoint 评估实验室试试。本人就去进行了购买。价格就不说了，反正不是家用产品。
其实测试嘛，要求的是可复现，可记录，可追溯。这次测试完全可以做到以上三点。

在此特别感谢@aiqinghe @anthonyqian @Eset小粉絲 @ICzcz @onedrive @隔山打空气 @a27573 一起进行了一天两夜的测试。
已对上述7个好兄弟授权1年的Microsoft E5 Enterprise Edition。
补档：感谢@Jerry.Lin 的提醒，在大蜘蛛有防火墙与无防火墙情况下的提醒，也感谢进行了一晚的测试。大蜘蛛有墙无墙测试均已补充。
已对@Jerry.Lin 好兄弟授权1年的Microsoft E5 Enterprise Edition。

测试内容：
持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、代码执行、已知的勒索软件感染、Carbanak 和 FIN7、Solorigate。






测试杀软： 卡巴斯基、ESET、诺顿、BitDefender个人版、迈克菲、Avast、F-Secure、G-Data、360安全卫士（二测全家桶）、智量
测试内容：如上所述。
测试环境：Microsoft Defender for Endpoint 评估实验室 提供的云服务器 （全组件Windows10）
测试机位：
1号靶机卡巴斯基，ESET （靶机操作员：aiqinghe，执行攻击者：vaedzy）
2号靶机诺顿（靶机操作员：anthonyqian，执行攻击者：anthonyqian）
3号靶机迈克菲 （靶机操作员：anthonyqian，执行攻击者：anthonyqian）
4号靶机BitDefender个人版（靶机操作员：aiqinghe，执行攻击者：vaedzy）
5号靶机F-Secure（靶机操作员：onedrive ，执行攻击者：vaedzy）
6号靶机：Avast，G-Data （靶机操作员：anthonyqian，执行攻击者：anthonyqian）
7号靶机诺顿 （靶机操作员：anthonyqian，执行攻击者：anthonyqian）
8号靶机360 （靶机操作员：隔山打空气 ，执行攻击者：vaedzy）

新建1号靶机 智量 、火绒（靶机操作员：隔山打空气 ，执行攻击者：vaedzy）
新建2号靶机 360卫士+360杀毒 （靶机操作员：0000666，执行攻击者：vaedzy）

测试原则：每一个杀软走一遍完整的攻击流程，如果出现alert，也就是被Microsoft Defender for Endpoint EDR组件与AIR组件检测到了，则为漏毒。全程靶机操作员与攻击者均有记录，且测试账号如有需要可公开追溯。

备注：由于靶机位紧张，若杀软防护住且靶机可以重复使用的情况下则重复使用。
下图中攻击情况，已完成是执行完成，并不是指代攻击成功。以下结果均是主杀默认配置，杀软日志等待各个靶机操作员上传，MDE检测详情信息正在上传。



以下测试有概率可能出现操作有问题，或者杀软没有完全夺舍MDE使得结果有误。若有疑问，可私信我拿到测试机位，重新测试。


1.卡巴斯基

攻击日志与MDE检测：

全防护


杀软日志：直达


2.ESSP
攻击日志与MDE检测：



检测到的是：持久性方法、防卫规避技术

杀软日志：由于ESET默认安装后是关闭远程连接的，所以全程是无人值守进行攻击的。因此没有日志。


3.诺顿

检测到的是：防卫规避技术、APT29、凭据盗取、OS配置修改、Carbanak 和 FIN7、Solorigate、已知的勒索软件感染、代码执行




杀软日志：3楼跳转  


4.迈克菲

检测到的是：全部


杀软日志：


5.BitDefender个人版

检测到的是：持久性方法、防卫规避技术、APT29


杀软日志：直达


6.Avast

检测到的是：APT29

杀软日志：直达


7.F-Secure



检测到的是：持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、Carbanak 和 FIN7、Solorigate、代码执行



杀软日志：直达


8.G-Data

检测到的是：全部方法。


杀软日志：直达



9.360 （未开核）



检测到的是：全部方法




杀软日志：5楼直达


10.智量

全部防护（模拟器一直被查杀）


杀软日志：直达

11.360卫士+360杀毒

检测到的是：持久性方法、防卫规避技术

杀软日志：


12.火绒
由于为了测试勒索病毒是否能正常启动，因此关闭了MDE监控。采用的BitDefender企业版的EDR监控，详情请看靶机操作员后续帖子。




13.大蜘蛛
全部拦截



无防火墙版




杀软日志：137楼直达

14.毛豆：

漏掉了 防卫规避技术



15.HitmanPro.Alert

情况比迈克菲还糟糕。属实太多了截图太累。
杀软日志：91楼




靶机情况目前情况：



测试记录的文档：

	持久性方法	防卫规避技术	APT29	凭据盗窃	OS 配置更改	Carbanak 和 FIN7	Solorigate	已知的勒索软件感染	代码执行	靶机操作员	攻击者
卡巴斯基	成功	成功	成功	成功	成功	成功	成功	成功	成功	aiqinghe	vaedzy
ESET	失败	失败	成功	成功	成功	成功	成功	成功	成功	无人值守	vaedzy
诺顿	成功	C杀，但有alerts	报毒，但有alerts	报毒，但有alerts	失败	报毒，但有alerts	报毒，触发IPS，但有alerts	报毒，没有加密，但有alerts	SONAR杀，但有alerts	anthonyqian	anthonyqian
BD个人版	失败	文件生成/但被拦截网络访问	失败	成功	成功	成功	成功	成功	成功	aiqinghe	vaedzy
MDE	成功	成功	成功	成功	成功	成功	成功	成功	成功	微软	微软
迈克菲	失败	失败	失败	失败，拦截但密码窃取成功	失败	失败	失败	失败	失败	anthonyqian	anthonyqian
avast	成功	成功	失败	成功	成功	成功	成功	成功	成功	aiqinghe	vaedzy
FS	失败，毫无反应	失败，毫无反应	失败，拦截但侧漏	失败，部分拦截且窃取成功	失败，部分拦截	失败，部分拦截	失败，部分拦截	成功	失败，拦截但侧漏	备注:拦截多次要求重启，但恶意操作已被执行onedrive	vaedzy
360	失败，有拦截提示	失败，有拦截提示但无意义	失败，毫无反应	失败，报告木马，拦截部分服务和部分PS脚本	失败，拦截部分PS脚本	失败，报告木马，拦截部分PS脚本	失败，报告木马，拦截部分网络访问和部分PS脚本	失败，完全无反应	失败，完全无反应	隔山打空气	vaedzy
智量	成功	成功	成功	成功	成功	成功	成功	成功	成功	隔山打空气	vaedzy
GDATA	失败	失败	失败	失败	失败	失败	失败	失败	失败	aiqinghe	vaedzy
火绒	未测试	未测试	失败，检测到木马，拦截镜像劫持	失败，发现木马，阻止cmd执行PS脚本	失败，拦截镜像劫持	失败，伪装的恶意程序与载荷已部署	失败，大量阻止恶意网络访问	成功，特征杀，白利用被杀	失败，部分阻止cmd，但载荷仍被释放	隔山打空气	vaedzy
360卫士、360杀毒	失败	失败	成功	成功	成功	成功	成功	成功	成功	00006666	vaedzy
HitmanPro.Alert 3.8.19 Build 923	失败	失败	失败	有警告但失败	未测试	失败	失败	失败	失败	a27573	vaedzy
comodo	成功	失败	成功	成功	成功	成功	成功	成功	成功	全自动	vaedzy
大蜘蛛 有墙 无防火墙	成功 失败	成功 失败	成功 失败	成功 失败	成功 成功	成功 失败	成功 失败	成功 失败	成功 失败	全自动 Jerry.Lin	vaedzy vaedzy

备注：可能有人会想，为什么这么多杀软失败，是不是MDE与第三方杀软冲突，导致MDE偷跑。在这个问题上，@aiqinghe 已尝试卡巴斯基+MDE，我也尝试过了ESSP+MDE ，在病毒扫描查杀时，如果主杀软拦截，在MDE检测中就不会alert，如果未拦截或者漏毒了，则会alert。这点两个人均已证实。
若需要重新验证，请私聊我。我提供MDE授权以助于实验。

再次声明：本次测试依照MDE的EDR监控为准，以上测试结果均来自MDE的EDR监控alerts，有概率杀软没有完全夺舍MDE核心组件导致全部失败。有疑问可以私聊重新进行测试。

在这里先预祝大家2022年心想事成，万事如意。


最后：入卡饭一个多月，属实让自己得了杀软综合症，看了不少杀软在样本区大杀四方和不少的新技术。后来也入了好多。根本挑不出来谁好谁坏，这四章过去了。答案也就有了，家用还是卡巴斯基是yyds。


全部日志：日志

ESET二测 HIPS开到了智能模式。漏掉的已经处理

onedrive

我是二楼，FS测试的时候，弹窗很频繁，但是对于这种持续攻击均有不同程度的侧漏。

持久性


防卫规避


apt29



Carbanak 和 FIN7



Solorigate



凭据盗窃



已知勒索



代码执行



OS更改

aiqinghe

本次测试中参与了Kaspersky、ESET（因为默认阻止远程链接所以只能跑自动了）、Bitdefender、Avast、G-DATA的测试，下方补图
一、卡巴斯基KTS


二、Bitdefender BTS


三、AVAST



四、G-DATA

anthonyqian

诺顿部分拦截截图。。。

隔山打空气

360部分拦截图
日志图

附加后查杀

日志都在这里了，有明显时间差的就算隔离开的不同实验

二号实验中由00006666大大操作测试机。具体情况由V大进行补充。




智量拉黑了部分模拟器，所以我们决定关闭实时防护再测。
稍等片刻，我们会尽快安排新的测试。



火绒拦截了本批次所有的勒索病毒攻击...令人难以置信。火绒的通杀做的还是很不错的。热闹非凡的EDR~


抱歉，我们忘记了捕获截图，但下面的压缩包中含有全部的日志。

00006666

隔山打空气 发表于 2021-12-31 11:53
360部分拦截图
日志图

勒索防护测试，桌面有放文档吗？

vaedzy

00006666 发表于 2021-12-31 11:57
勒索防护测试，桌面有放文档吗？

没用 底层有MDE EDR阻断，漏掉了也不会启动... 具体情况我可以提供溯源

00006666

vaedzy 发表于 2021-12-31 11:58
没用 底层有MDE EDR阻断，漏掉了也不会启动... 具体情况我可以提供溯源

那这其他的不好说，勒索病毒咋知道有没有防护成功……

vaedzy

00006666 发表于 2021-12-31 12:00
那这其他的不好说，勒索病毒咋知道有没有防护成功……

有这种日志，我知道正常人懒得看，都丢上来就是看图大会了。需要的话我发给你，你看看

00006666

vaedzy 发表于 2021-12-31 12:03
有这种日志，我知道正常人懒得看，都丢上来就是看图大会了。需要的话我发给你，你看看

那这样的话，勒索测试应该是只测试监控，没有测试主防吧。