【吐槽向】咖啡月神的一些观察

anthonyqian

咖啡月神（企业版/VT版Artemis，家用版JTI/Suspect或Suspect）一直都很敏感，也是咖啡保持高检测率的关键技术，相信大家都知道。但是根据我的观察，我发现了月神的以下两个行为：

1. 从VT获取 PE 样本

这个行为其实我早就发现了。当时也是出于好奇，用MD5修改器修改了样本区的一个DLL样本，然后上传VT看看有谁是简单的基于哈希拉黑的。这个样本修改之前咖啡就报Artemis，修改后的样本咖啡不报非常正常。过了大概几分钟吧，我刷新了一下，好家伙，咖啡直接拉黑报Artemis。我相信用MD5修改器修改的样本不可能在野传播，同时当时我的电脑上也没装咖啡，因此咖啡获取样本的唯一途径就是VT。从那时起，我特意留意了一下咖啡在VT上的表现，观察到不少样本一开始咖啡不报，上传VT后不久就拉黑了。

其实，同意提供引擎给VT使用的厂商都有获得样本的资格，因此咖啡的行为无可厚非。但是，下面这个我最近发现的行为，就很不妥了。

2. “参考”其他厂商的检测结果

这个行为我一直在观察，其实已经发现了有一些苗头了。比较明显的是最近我在样本区发的 Devos Ransomware 这个样本。Devos Ransomware 这个样本比较特殊，是白加黑样本，解包后有大量的白文件，同时也有恶意的部分，例如 libcui40.dll、ground、tracegen.exe、TmEvent.dll，分析难度大。由于ground不是PE文件，不在讨论范围内。

值得说道的是TmEvent.dll这个文件。这个样本首次上传VT的时间是3/31，基本是和 Devos Ransomware 这个原始样本同一时间上传到VT的。当时 VT 对这个样本的检测率是一片绿。直到今天下午4点，wwwab说卡巴分析后认为样本是恶意的，应该被检测为Trojan.Win32.Starter.anzv，我查看了一下VT，果然，只有卡巴和使用卡巴引擎的ZA两家报。随后瑞星也拉黑了，报法和卡巴一致，估计是官人蹲点了。重点是咖啡，大约过了两个小时，我刷新了一下VT，好家伙，咖啡也拉黑了，报月神。合着早不拉黑晚不拉黑，直到卡巴拉黑了你才拉黑是吧。



一个文件出现这个情况也许是偶然，但是好巧不巧，我在tracegen.exe这个文件上也发现了类似的情况。这个文件也是 Devos Ransomware 的一部分，首次上传VT是今年的二月份了。今天下午4点的时候，我查了一下VT，只有Avast检测为FileRepMalware（从报法看，应该是Avast刚刚检测到，还没分类），还有一些不知名NGAV厂商报毒了，检测率非常低。由于这个文件经过卡巴、BD的分析后，被他们两大厂商认定为无害，因此我当时觉得可能是Avast的误报，或是恶意行为不够显著。没想到，同样过了两个多小时，咖啡也拉黑了！！！



至于libcui40.dll这个文件，喜提卡巴、BD、Avast的三大厂商三重拉黑，buff叠满，咖啡当然拉黑了，毫不意外~



以前观察到咖啡似乎会参考其他友商的结果进行拉黑，但是一直没有直接证据。这次这个解包后的 Devos Ransomware 样本，由于样本的特殊性、复杂性，分析难度较大，这一点从VT上传那么久没有一家厂商拉黑就可以看出。咖啡紧随卡巴、Avast之后拉黑样本，基本可以实锤咖啡会“参考”其他厂商的检测结果。

anthonyqian

又找到一个Devos Ransomware 里面原先VT一片绿，最近两天Avast拉黑，几个小时后咖啡月神拉黑的文件Machining.exe Devos Ransomware真的是杀软的照妖镜啊。。。

kuroandsan

https://bbs.kafan.cn/thread-2230175-1-1.html

是时候贴出这个帖子了

blackmonster233

咖啡：这样就省下一笔工资，白嫖其他厂商员工

bbszy

感觉搞这种事情的也不止他一家。

anthonyqian

bbszy 发表于 2022-4-7 10:47
感觉搞这种事情的也不止他一家。

当然还有一些小厂，比如卡巴的坚定的跟屁虫 Lionic（偶尔还会跟一跟BD）、伪AI的MAX（VT报的引擎越多，AI 打分越高）。

大厂里面，还没观察到比咖啡做的更明目张胆的。。。飞塔不知道算不算大厂，但是它会抄其他引擎的检测名，但似乎不是无脑抄的。

bbs2811125

厂商里边有独立判别力的不多，互通有无是好事，但是照搬拉黑就有点low
仔细观察还能发现更多

lvzhiwei

比如国产就有几个大概率蹲点拉黑，有没有分析过再拉黑就不知道了

anthonyqian

bbs2811125 发表于 2022-4-7 12:28
厂商里边有独立判别力的不多，互通有无是好事，但是照搬拉黑就有点low
仔细观察还能发现更多

小厂不算，还有哪些大厂有这样的操作的。。。

kuroandsan

anthonyqian 发表于 2022-4-7 12:41
小厂不算，还有哪些大厂有这样的操作的。。。

然后开始怀疑咖啡的防护能力了

bbs2811125

anthonyqian 发表于 2022-4-7 12:41
小厂不算，还有哪些大厂有这样的操作的。。。

是真的有的，反正在我看来也就卡巴和ESET比较严谨，别的多少都有点随意