搜索
查看: 9694|回复: 126
收起左侧

[技术原创] 【终章,基于微软评估实验室的测试】专业治疗杀软综合征

  [复制链接]
vaedzy
发表于 2021-12-30 22:58:28 | 显示全部楼层 |阅读模式
本帖最后由 vaedzy 于 2022-1-4 21:21 编辑

前文回顾:
第一章写了各个杀软的最低入正价格与渠道。
第二章写了各个杀软在网页加载、内存占用、磁盘占用、安装日常软件以及扫描速度的情况。
第三章写了各个杀软在入库方面的比拼,也就是家庭中能见到的病毒。


快速阅读:
【第一章,入正价格篇】专业治疗杀软综合征
【第二章,日常与占用篇】专业治疗杀软综合征

【第三章,家用环境的扫描、查杀、双击与修复】专业治疗杀软综合征



上次第三章本来想写成终章,但因为样本太老了,拼入库实在没意思就改成了家用环境。这次应该终章了,这一次测试由@a27573 告知的可以尝试使用Microsoft Defender for Endpoint 评估实验室试试。本人就去进行了购买。价格就不说了,反正不是家用产品。
其实测试嘛,要求的是可复现,可记录,可追溯。这次测试完全可以做到以上三点。

在此特别感谢@aiqinghe @anthonyqian @Eset小粉絲 @ICzcz @onedrive @隔山打空气 @a27573 一起进行了一天两夜的测试。

已对上述7个好兄弟授权1年的Microsoft E5 Enterprise Edition

测试内容:
持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、代码执行、已知的勒索软件感染、Carbanak 和 FIN7、Solorigate。






测试杀软: 卡巴斯基、ESET、诺顿、BitDefender个人版、迈克菲、Avast、F-Secure、G-Data、360安全卫士(二测全家桶)、智量
测试内容:如上所述。
测试环境:Microsoft Defender for Endpoint 评估实验室 提供的云服务器 (全组件Windows10)
测试机位:
1号靶机卡巴斯基,ESET (靶机操作员:aiqinghe,执行攻击者:vaedzy)
2号靶机诺顿(靶机操作员:anthonyqian,执行攻击者:anthonyqian)
3号靶机迈克菲 (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
4号靶机BitDefender个人版(靶机操作员:aiqinghe,执行攻击者:vaedzy)
5号靶机F-Secure(靶机操作员:onedrive ,执行攻击者:vaedzy)
6号靶机:Avast,G-Data (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
7号靶机诺顿 (靶机操作员:anthonyqian,执行攻击者:anthonyqian)
8号靶机360 (靶机操作员:隔山打空气 ,执行攻击者:vaedzy)

新建1号靶机 智量 、火绒(靶机操作员:隔山打空气 ,执行攻击者:vaedzy)

新建2号靶机 360卫士+360杀毒 (靶机操作员:0000666,执行攻击者:vaedzy)

测试原则:每一个杀软走一遍完整的攻击流程,如果出现alert,也就是被Microsoft Defender for Endpoint EDR组件与AIR组件检测到了,则为漏毒。全程靶机操作员与攻击者均有记录,且测试账号如有需要可公开追溯。

备注:由于靶机位紧张,若杀软防护住且靶机可以重复使用的情况下则重复使用。
下图中攻击情况,已完成是执行完成,并不是指代攻击成功。以下结果均是主杀默认配置,杀软日志等待各个靶机操作员上传,MDE检测详情信息正在上传。



以下测试有概率可能出现操作有问题,或者杀软没有完全夺舍MDE使得结果有误。若有疑问,可私信我拿到测试机位,重新测试。


1.卡巴斯基

攻击日志与MDE检测:

全防护


杀软日志:直达


2.ESSP
攻击日志与MDE检测:



检测到的是:持久性方法、防卫规避技术

杀软日志:由于ESET默认安装后是关闭远程连接的,所以全程是无人值守进行攻击的。因此没有日志。


3.诺顿

检测到的是:防卫规避技术、APT29、凭据盗取、OS配置修改、Carbanak 和 FIN7、Solorigate、已知的勒索软件感染、代码执行




杀软日志:3楼跳转  


4.迈克菲

检测到的是:全部


杀软日志:


5.BitDefender个人版

检测到的是:持久性方法、防卫规避技术、APT29


杀软日志:直达


6.Avast

检测到的是:APT29

杀软日志:直达


7.F-Secure



检测到的是:持久性方法、防卫规避技术、APT29、凭据盗窃、OS 配置更改、Carbanak 和 FIN7、Solorigate、代码执行



杀软日志:直达



8.G-Data

检测到的是:全部方法。


杀软日志:直达



9.360 (未开核)



检测到的是:全部方法




杀软日志:5楼直达


10.智量

全部防护(模拟器一直被查杀)


杀软日志:直达

11.360卫士+360杀毒

检测到的是:持久性方法、防卫规避技术

杀软日志:


12.火绒
由于为了测试勒索病毒是否能正常启动,因此关闭了MDE监控。采用的BitDefender企业版的EDR监控,详情请看靶机操作员后续帖子。




13.大蜘蛛
全部拦截




14.毛豆:

漏掉了 防卫规避技术



15.HitmanPro.Alert

情况比迈克菲还糟糕。属实太多了截图太累。
杀软日志:91楼




靶机情况目前情况:



测试记录的文档:

持久性方法防卫规避技术APT29凭据盗窃OS 配置更改Carbanak 和 FIN7Solorigate已知的勒索软件感染代码执行靶机操作员攻击者
卡巴斯基成功成功成功成功成功成功成功成功成功aiqinghevaedzy
ESET失败失败成功成功成功成功成功成功成功无人值守vaedzy
诺顿成功C杀,但有alerts报毒,但有alerts报毒,但有alerts失败报毒,但有alerts报毒,触发IPS,但有alerts报毒,没有加密,但有alertsSONAR杀,但有alertsanthonyqiananthonyqian
BD个人版失败文件生成/但被拦截网络访问失败成功成功成功成功成功成功aiqinghevaedzy
MDE成功成功成功成功成功成功成功成功成功微软微软
迈克菲失败失败失败失败,拦截但密码窃取成功失败失败失败失败失败anthonyqiananthonyqian
avast成功成功失败成功成功成功成功成功成功aiqinghevaedzy
FS失败,毫无反应失败,毫无反应失败,拦截但侧漏失败,部分拦截且窃取成功失败,部分拦截失败,部分拦截失败,部分拦截成功失败,拦截但侧漏备注:拦截多次要求重启,但恶意操作已被执行onedrivevaedzy
360失败,有拦截提示失败,有拦截提示但无意义失败,毫无反应失败,报告木马,拦截部分服务和部分PS脚本失败,拦截部分PS脚本失败,报告木马,拦截部分PS脚本失败,报告木马,拦截部分网络访问和部分PS脚本失败,完全无反应失败,完全无反应隔山打空气vaedzy
智量成功成功成功成功成功成功成功成功成功隔山打空气vaedzy
GDATA失败失败失败失败失败失败失败失败失败aiqinghevaedzy
火绒未测试未测试失败,检测到木马,拦截镜像劫持失败,发现木马,阻止cmd执行PS脚本失败,拦截镜像劫持失败,伪装的恶意程序与载荷已部署失败,大量阻止恶意网络访问成功,特征杀,白利用被杀失败,部分阻止cmd,但载荷仍被释放隔山打空气vaedzy
360卫士、360杀毒失败失败成功成功成功成功成功成功成功00006666vaedzy
HitmanPro.Alert 3.8.19 Build 923失败失败失败有警告但失败未测试失败失败失败失败a27573vaedzy
comodo成功失败成功成功成功成功成功成功成功全自动vaedzy
大蜘蛛成功成功成功成功成功成功成功成功成功全自动vaedzy

备注:可能有人会想,为什么这么多杀软失败,是不是MDE与第三方杀软冲突,导致MDE偷跑。在这个问题上,@aiqinghe 已尝试卡巴斯基+MDE,我也尝试过了ESSP+MDE ,在病毒扫描查杀时,如果主杀软拦截,在MDE检测中就不会alert,如果未拦截或者漏毒了,则会alert。这点两个人均已证实。
若需要重新验证,请私聊我。我提供MDE授权以助于实验。

再次声明:本次测试依照MDE的EDR监控为准,以上测试结果均来自MDE的EDR监控alerts,有概率杀软没有完全夺舍MDE核心组件导致全部失败。有疑问可以私聊重新进行测试。


在这里先预祝大家2022年心想事成,万事如意。


最后:入卡饭一个多月,属实让自己得了杀软综合症,看了不少杀软在样本区大杀四方和不少的新技术。后来也入了好多。根本挑不出来谁好谁坏,这四章过去了。答案也就有了,家用还是卡巴斯基是yyds。


全部日志:日志

ESET二测 HIPS开到了智能模式。漏掉的已经处理


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 21原创 +1 分享 +3 人气 +67 收起 理由
HuaYa + 3 精品文章
qq340496302 + 3 精品文章
屁颠屁颠 + 1 + 3 + 2 版区有你更精彩: )
zoumin8796 + 3 精品文章
munsimli + 3 實在是太專業了,不給讚對不起良心

查看全部评分

onedrive
发表于 2021-12-31 11:45:08 来自手机 | 显示全部楼层
本帖最后由 onedrive 于 2021-12-30 20:41 编辑

我是二楼,FS测试的时候,弹窗很频繁,但是对于这种持续攻击均有不同程度的侧漏。

持久性


防卫规避


apt29



Carbanak 和 FIN7



Solorigate



凭据盗窃



已知勒索



代码执行



OS更改


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 新年快乐!

查看全部评分

aiqinghe
发表于 2021-12-31 11:46:28 | 显示全部楼层
本帖最后由 aiqinghe 于 2021-12-31 12:00 编辑

本次测试中参与了Kaspersky、ESET(因为默认阻止远程链接所以只能跑自动了)、Bitdefender、Avast、G-DATA的测试,下方补图
一、卡巴斯基KTS


二、Bitdefender BTS


三、AVAST



四、G-DATA

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +6 收起 理由
dongwenqi + 3 版区有你更精彩: )
vaedzy + 3

查看全部评分

anthonyqian
发表于 2021-12-31 11:49:34 | 显示全部楼层






诺顿部分拦截截图。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +5 收起 理由
隔山打空气 + 2 新年快乐!
vaedzy + 3 感谢好兄弟的测试

查看全部评分

隔山打空气
发表于 2021-12-31 11:53:55 | 显示全部楼层
本帖最后由 隔山打空气 于 2021-12-31 19:56 编辑

360部分拦截图
日志图

附加后查杀

日志都在这里了,有明显时间差的就算隔离开的不同实验

二号实验中由00006666大大操作测试机。具体情况由V大进行补充。




智量拉黑了部分模拟器,所以我们决定关闭实时防护再测。
稍等片刻,我们会尽快安排新的测试。



火绒拦截了本批次所有的勒索病毒攻击...令人难以置信。火绒的通杀做的还是很不错的。热闹非凡的EDR~


抱歉,我们忘记了捕获截图,但下面的压缩包中含有全部的日志。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
vaedzy + 2 分不够了明天在喜加一

查看全部评分

00006666
发表于 2021-12-31 11:57:59 | 显示全部楼层
隔山打空气 发表于 2021-12-31 11:53
360部分拦截图
日志图

勒索防护测试,桌面有放文档吗?
vaedzy
 楼主| 发表于 2021-12-31 11:58:42 | 显示全部楼层
00006666 发表于 2021-12-31 11:57
勒索防护测试,桌面有放文档吗?

没用 底层有MDE EDR阻断,漏掉了也不会启动... 具体情况我可以提供溯源
00006666
发表于 2021-12-31 12:00:50 | 显示全部楼层
vaedzy 发表于 2021-12-31 11:58
没用 底层有MDE EDR阻断,漏掉了也不会启动... 具体情况我可以提供溯源

那这其他的不好说,勒索病毒咋知道有没有防护成功……
vaedzy
 楼主| 发表于 2021-12-31 12:03:16 | 显示全部楼层
00006666 发表于 2021-12-31 12:00
那这其他的不好说,勒索病毒咋知道有没有防护成功……

有这种日志,我知道正常人懒得看,都丢上来就是看图大会了。需要的话我发给你,你看看

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2021-12-31 12:05:06 | 显示全部楼层
vaedzy 发表于 2021-12-31 12:03
有这种日志,我知道正常人懒得看,都丢上来就是看图大会了。需要的话我发给你,你看看

那这样的话,勒索测试应该是只测试监控,没有测试主防吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-20 07:38 , Processed in 0.131369 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表