搜索
楼主: anthonyqian
收起左侧

[技术原创] #娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

  [复制链接]
swizzer
发表于 2022-3-20 16:53:00 | 显示全部楼层
本帖最后由 swizzer 于 2022-3-20 17:28 编辑

看到ESET的结果我还是有所怀疑的。VT上的ESET引擎可能与本地实际使用的有一定区别,所以仿照楼主说的几个方法,我对ESET也测试了一遍。
测试使用的ESET各模块版本:


方法6我不确定具体如何修改,所以只测试了1-5以及7.修改后的样本见附件



ESET最终的结果如下

  1. C:\Users\Dolphiner\Desktop\BlackSun.ps1\1BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
  2. C:\Users\Dolphiner\Desktop\BlackSun.ps1\2BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
  3. C:\Users\Dolphiner\Desktop\BlackSun.ps1\3BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
  4. C:\Users\Dolphiner\Desktop\BlackSun.ps1\BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
  5. AMSI 扫描程序;文件;C:\Users\Dolphiner\Desktop\BlackSun.ps1\4BlackSun.ps1;PowerShell/DelShadowCopy.A 特洛伊木马
  6. AMSI 扫描程序;文件;C:\Users\Dolphiner\Desktop\BlackSun.ps1\5BlackSun.ps1;PowerShell/DelShadowCopy.A 特洛伊木马

复制代码


测试4与测试5成功绕过了ESET的静态特征,但是无法通过AMSI扫描。测试1、2、3并没有成功绕过ESET的静态特征,与主楼结果有一定出入。





多说一点,火绒的特征强度真不是盖的···锁库测试下来甚至优于ESET
可能是因为火绒防御手段比较单一吧,主要靠特征输出,而不像智量、ESET等可以靠内存扫描来对抗混淆,所以相应的会在特征提取上更加用心

@anthonyqian

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Kinhold
发表于 2022-3-20 17:17:46 | 显示全部楼层
靠特征码提取/识别始终还是依赖病毒库的比重比较多,对于勒索类,还是主动防御性功能比较稳妥
CBI
发表于 2022-3-20 18:50:02 | 显示全部楼层
看到趋势这个爆法就知道无了
CreatorHusky
发表于 2022-3-20 18:54:55 | 显示全部楼层
国内的不测一测360吗
anthonyqian
 楼主| 发表于 2022-3-20 19:03:57 | 显示全部楼层
syswow64 发表于 2022-3-20 15:52
Trojan.Agent报法挺常见的,我那个可能是因为少见的jar格式样本才出现java特有报法

我之前感觉BD的Trojan.Agent应该有人工参与的成分在里面,没想到也。。。
anthonyqian
 楼主| 发表于 2022-3-20 19:05:23 | 显示全部楼层
a27573 发表于 2022-3-20 16:15
前几年(17-19左右吧)我用小红伞的时候,样本区的PS就没见过杀过,上报也不杀

过了一段时间突然发现 ...

Avira仍旧是对非PE文件比较薄弱,全靠入库。上次试了个Office宏病毒,上报入库后稍微改了一下文档内容就不报了。。。
anthonyqian
 楼主| 发表于 2022-3-20 19:08:10 | 显示全部楼层
本帖最后由 anthonyqian 于 2022-3-20 19:49 编辑
swizzer 发表于 2022-3-20 16:53
看到ESET的结果我还是有所怀疑的。VT上的ESET引擎可能与本地实际使用的有一定区别,所以仿照楼主说的几个方 ...

真的假的,一般杀软在VT上反而比实体机要激进,看起来ESET是反例。。。后面两个PowerShell/DelShadowCopy.A 特洛伊木马 其实这个BlackSun一出来的时候就能报。
——————

我用ESET Online Scanner重新测试了一遍,ESET可以通过“挑战三:修改一个变量名 + 修改要加密的文件类型”,但似乎无法检测到修改了后缀名和勒索信的样本,之后的一系列样本也没有检测出~
Miostartos
发表于 2022-3-20 19:22:51 | 显示全部楼层
anthonyqian 发表于 2022-3-20 19:08
真的假的,一般杀软在VT上反而比实体机要激进,看起来ESET是反例。。。后面两个PowerShell/DelShadowCopy ...

VT比实际产品弱才是常态
基本上就是用来抗免杀的,典型的Avira,FS和BD都没在VT上云
小小龙
发表于 2022-3-20 19:33:11 | 显示全部楼层
好像ZA很多年前就开始用的卡巴斯基的杀毒引擎了
anthonyqian
 楼主| 发表于 2022-3-20 19:50:11 | 显示全部楼层
Miostartos 发表于 2022-3-20 19:22
VT比实际产品弱才是常态
基本上就是用来抗免杀的,典型的Avira,FS和BD都没在VT上云

铁壳的某个官人说的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-18 15:16 , Processed in 0.083179 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表