查看: 7278|回复: 45
收起左侧

[讨论] 【吐槽向】咖啡月神的一些观察

[复制链接]
anthonyqian
发表于 2022-4-6 22:58:43 | 显示全部楼层 |阅读模式
咖啡月神(企业版/VT版Artemis,家用版JTI/Suspect或Suspect)一直都很敏感,也是咖啡保持高检测率的关键技术,相信大家都知道。但是根据我的观察,我发现了月神的以下两个行为:

1. 从VT获取 PE 样本

这个行为其实我早就发现了。当时也是出于好奇,用MD5修改器修改了样本区的一个DLL样本,然后上传VT看看有谁是简单的基于哈希拉黑的。这个样本修改之前咖啡就报Artemis,修改后的样本咖啡不报非常正常。过了大概几分钟吧,我刷新了一下,好家伙,咖啡直接拉黑报Artemis。我相信用MD5修改器修改的样本不可能在野传播,同时当时我的电脑上也没装咖啡,因此咖啡获取样本的唯一途径就是VT。从那时起,我特意留意了一下咖啡在VT上的表现,观察到不少样本一开始咖啡不报,上传VT后不久就拉黑了。

其实,同意提供引擎给VT使用的厂商都有获得样本的资格,因此咖啡的行为无可厚非。但是,下面这个我最近发现的行为,就很不妥了。

2. “参考”其他厂商的检测结果

这个行为我一直在观察,其实已经发现了有一些苗头了。比较明显的是最近我在样本区发的 Devos Ransomware 这个样本。Devos Ransomware 这个样本比较特殊,是白加黑样本,解包后有大量的白文件,同时也有恶意的部分,例如 libcui40.dllgroundtracegen.exeTmEvent.dll,分析难度大。由于ground不是PE文件,不在讨论范围内。

值得说道的是TmEvent.dll这个文件。这个样本首次上传VT的时间是3/31,基本是和 Devos Ransomware 这个原始样本同一时间上传到VT的。当时 VT 对这个样本的检测率是一片绿。直到今天下午4点,wwwab说卡巴分析后认为样本是恶意的,应该被检测为Trojan.Win32.Starter.anzv,我查看了一下VT,果然,只有卡巴和使用卡巴引擎的ZA两家报。随后瑞星也拉黑了,报法和卡巴一致,估计是官人蹲点了。重点是咖啡,大约过了两个小时,我刷新了一下VT,好家伙,咖啡也拉黑了,报月神。合着早不拉黑晚不拉黑,直到卡巴拉黑了你才拉黑是吧。



一个文件出现这个情况也许是偶然,但是好巧不巧,我在tracegen.exe这个文件上也发现了类似的情况。这个文件也是 Devos Ransomware 的一部分,首次上传VT是今年的二月份了。今天下午4点的时候,我查了一下VT,只有Avast检测为FileRepMalware(从报法看,应该是Avast刚刚检测到,还没分类),还有一些不知名NGAV厂商报毒了,检测率非常低。由于这个文件经过卡巴、BD的分析后,被他们两大厂商认定为无害,因此我当时觉得可能是Avast的误报,或是恶意行为不够显著。没想到,同样过了两个多小时,咖啡也拉黑了!!!



至于libcui40.dll这个文件,喜提卡巴、BD、Avast的三大厂商三重拉黑,buff叠满,咖啡当然拉黑了,毫不意外~



以前观察到咖啡似乎会参考其他友商的结果进行拉黑,但是一直没有直接证据。这次这个解包后的 Devos Ransomware 样本,由于样本的特殊性、复杂性,分析难度较大,这一点从VT上传那么久没有一家厂商拉黑就可以看出。咖啡紧随卡巴、Avast之后拉黑样本,基本可以实锤咖啡会“参考”其他厂商的检测结果。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 版区有你更精彩: )

查看全部评分

anthonyqian
 楼主| 发表于 2022-4-8 00:48:42 | 显示全部楼层
又找到一个Devos Ransomware 里面原先VT一片绿,最近两天Avast拉黑,几个小时后咖啡月神拉黑的文件Machining.exe Devos Ransomware真的是杀软的照妖镜啊。。。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kuroandsan
发表于 2022-4-6 23:37:44 | 显示全部楼层
https://bbs.kafan.cn/thread-2230175-1-1.html

是时候贴出这个帖子了
blackmonster233
发表于 2022-4-7 09:55:49 | 显示全部楼层
咖啡:这样就省下一笔工资,白嫖其他厂商员工
bbszy
发表于 2022-4-7 10:47:24 | 显示全部楼层
感觉搞这种事情的也不止他一家。
anthonyqian
 楼主| 发表于 2022-4-7 12:00:47 | 显示全部楼层
bbszy 发表于 2022-4-7 10:47
感觉搞这种事情的也不止他一家。

当然还有一些小厂,比如卡巴的坚定的跟屁虫 Lionic(偶尔还会跟一跟BD)、伪AI的MAX(VT报的引擎越多,AI 打分越高)。

大厂里面,还没观察到比咖啡做的更明目张胆的。。。飞塔不知道算不算大厂,但是它会抄其他引擎的检测名,但似乎不是无脑抄的。
bbs2811125
发表于 2022-4-7 12:28:41 | 显示全部楼层
厂商里边有独立判别力的不多,互通有无是好事,但是照搬拉黑就有点low
仔细观察还能发现更多
lvzhiwei
发表于 2022-4-7 12:34:49 | 显示全部楼层
比如国产就有几个大概率蹲点拉黑,有没有分析过再拉黑就不知道了
anthonyqian
 楼主| 发表于 2022-4-7 12:41:32 | 显示全部楼层
bbs2811125 发表于 2022-4-7 12:28
厂商里边有独立判别力的不多,互通有无是好事,但是照搬拉黑就有点low
仔细观察还能发现更多

小厂不算,还有哪些大厂有这样的操作的。。。
kuroandsan
发表于 2022-4-7 12:46:54 | 显示全部楼层
anthonyqian 发表于 2022-4-7 12:41
小厂不算,还有哪些大厂有这样的操作的。。。

然后开始怀疑咖啡的防护能力了
bbs2811125
发表于 2022-4-7 13:04:25 | 显示全部楼层
anthonyqian 发表于 2022-4-7 12:41
小厂不算,还有哪些大厂有这样的操作的。。。

是真的有的,反正在我看来也就卡巴和ESET比较严谨,别的多少都有点随意
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-3 04:17 , Processed in 0.110261 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表