#娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

swizzer

看到ESET的结果我还是有所怀疑的。VT上的ESET引擎可能与本地实际使用的有一定区别，所以仿照楼主说的几个方法，我对ESET也测试了一遍。
测试使用的ESET各模块版本：


方法6我不确定具体如何修改，所以只测试了1-5以及7.修改后的样本见附件



ESET最终的结果如下

1. C:\Users\Dolphiner\Desktop\BlackSun.ps1\1BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
   
2. C:\Users\Dolphiner\Desktop\BlackSun.ps1\2BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
   
3. C:\Users\Dolphiner\Desktop\BlackSun.ps1\3BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
   
4. C:\Users\Dolphiner\Desktop\BlackSun.ps1\BlackSun.ps1 - PowerShell/Filecoder.AN 特洛伊木马 - 已保留
   
5. AMSI 扫描程序;文件;C:\Users\Dolphiner\Desktop\BlackSun.ps1\4BlackSun.ps1;PowerShell/DelShadowCopy.A 特洛伊木马
   
6. AMSI 扫描程序;文件;C:\Users\Dolphiner\Desktop\BlackSun.ps1\5BlackSun.ps1;PowerShell/DelShadowCopy.A 特洛伊木马
   
7. 
   

复制代码

测试4与测试5成功绕过了ESET的静态特征，但是无法通过AMSI扫描。测试1、2、3并没有成功绕过ESET的静态特征，与主楼结果有一定出入。





多说一点，火绒的特征强度真不是盖的···锁库测试下来甚至优于ESET
可能是因为火绒防御手段比较单一吧，主要靠特征输出，而不像智量、ESET等可以靠内存扫描来对抗混淆，所以相应的会在特征提取上更加用心

@anthonyqian

Kinhold

靠特征码提取/识别始终还是依赖病毒库的比重比较多，对于勒索类，还是主动防御性功能比较稳妥

CBI

看到趋势这个爆法就知道无了

CreatorHusky

国内的不测一测360吗

anthonyqian

syswow64 发表于 2022-3-20 15:52
Trojan.Agent报法挺常见的，我那个可能是因为少见的jar格式样本才出现java特有报法

我之前感觉BD的Trojan.Agent应该有人工参与的成分在里面，没想到也。。。

anthonyqian

a27573 发表于 2022-3-20 16:15
前几年（17-19左右吧）我用小红伞的时候，样本区的PS就没见过杀过，上报也不杀

过了一段时间突然发现 ...

Avira仍旧是对非PE文件比较薄弱，全靠入库。上次试了个Office宏病毒，上报入库后稍微改了一下文档内容就不报了。。。

anthonyqian

swizzer 发表于 2022-3-20 16:53
看到ESET的结果我还是有所怀疑的。VT上的ESET引擎可能与本地实际使用的有一定区别，所以仿照楼主说的几个方 ...

真的假的，一般杀软在VT上反而比实体机要激进，看起来ESET是反例。。。后面两个PowerShell/DelShadowCopy.A 特洛伊木马 其实这个BlackSun一出来的时候就能报。
——————

我用ESET Online Scanner重新测试了一遍，ESET可以通过“挑战三：修改一个变量名 + 修改要加密的文件类型”，但似乎无法检测到修改了后缀名和勒索信的样本，之后的一系列样本也没有检测出~

Miostartos

anthonyqian 发表于 2022-3-20 19:08
真的假的，一般杀软在VT上反而比实体机要激进，看起来ESET是反例。。。后面两个PowerShell/DelShadowCopy ...

VT比实际产品弱才是常态
基本上就是用来抗免杀的，典型的Avira，FS和BD都没在VT上云

小小龙

好像ZA很多年前就开始用的卡巴斯基的杀毒引擎了

anthonyqian

Miostartos 发表于 2022-3-20 19:22
VT比实际产品弱才是常态
基本上就是用来抗免杀的，典型的Avira，FS和BD都没在VT上云

铁壳的某个官人说的