针对Microsoft系列安软入库的补充衍生测试

ANY.LNK

由
#娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1275892

衍生而来


在该测试中，微软在修改文件MD5后在VT上漏掉了样本（没有报毒），并且在@anthonyqian 那里得到了复现。在我这里改MD5后仍报毒，检查发现该样本微软并未录入本地库，是由云端下发的动态签名报毒。

在此种情况下我们以及VT上报毒的差异可能来源于我们身处位置差异与云的设置不同有关，以下是对本地入库样本情况的补充。




这里选用https://github.com/swagkarna/Defeat-Defender-V1.2的Defeat-Defender进行首个测试。


先扫描原始样本，已经本地入库


接下来使用论坛里的MD5修改工具修改MD5




接下来重新扫描，报毒名不变，仍是本地入库的报法


上传到VT同样报毒




接下来尝试使用pydefendercheck自动化脚本（衍生自被标记的DefenderCheck，python版本虽被标记但更容易免杀，这里删除了所有的注释后过掉了Defender←该脚本并没有恶意行为，仅容易被利用）定位被报毒的代码


失败……Defender在开启实时保护的情况下直接切断了向被报毒脚本的访问，关闭实时保护就返回无威胁，无法使用自动化脚本定位被报毒处，微软已修复该安全隐患


手动定位被报毒的代码

……

当UAC提权模块和更改smartscreen.exe权限模块同时存在时，报毒。但当删去其中之一后不再报毒，其余的模块增减在本次测试中并不影响。


扩大样本容量，使用https://bbs.kafan.cn/thread-2225887-1-1.html的样本。

除1个更改MD5前后扫描都漏杀，1个改变MD5后由本地击杀变为了云杀，其余仍是入本地库查杀


接下来测试一些PE样本。


选用https://bbs.kafan.cn/thread-2227037-1-1.html的Conti勒索

改MD5前：


改MD5后：


结论：如果样本在本地入库，通过修改MD5一般过不了微软，在测试中对于Defeat-Defender标记了有效的代码片段，但像测试的pyDefendercheck标记的是注释，删去注释后样本成功执行（但该样本本身没有危害性），总之，很迷，标记样本的地方（特征）疑似与样本的危害程度有关。而如果是云端则受多种因素影响，我这边云杀的样本修改MD5无影响，但不排除其他人测试时会有其它状况。

00006666

其实就很像360，只针对特定样本(比如一些广泛传播的样本)进行本地特征码处理，此类本地入库样本改MD5依旧报毒

比如以前的测试:https://bbs.kafan.cn/thread-2177174-1-1.html

但是由于机学引擎(本地与云端机学)的存在，如果改太多就很容易变成机学报毒

anthonyqian

Defender我了解的不多，但报毒名后缀是MTB的，简单改改hash是过不了的，应该是提取到特征了~

00006666

anthonyqian 发表于 2022-4-29 21:59
Defender我了解的不多，但报毒名后缀是MTB的，简单改改hash是过不了的，应该是提取到特征了~

可以试试找一个360可以用本地QVM引擎检出的样本(无HEUR的QVM报法)，测试下简单修改对于本地机学的影响(目前360杀毒只有断网且设置中开启QVM才有启用本地QVM引擎，联网扫描实际不启用)  

anthonyqian

00006666 发表于 2022-4-29 22:07
可以试试找一个360可以用本地QVM引擎检出的样本(无HEUR的QVM报法)，测试下简单修改对于本地机学的影响(目 ...

哈哈 360我就更不了解了 几乎没怎么用过

anthonyqian

00006666 发表于 2022-4-29 22:07
可以试试找一个360可以用本地QVM引擎检出的样本(无HEUR的QVM报法)，测试下简单修改对于本地机学的影响(目 ...

哈哈 360我就更不了解了 几乎没怎么用过

ANY.LNK

anthonyqian 发表于 2022-4-29 21:59
Defender我了解的不多，但报毒名后缀是MTB的，简单改改hash是过不了的，应该是提取到特征了~

测试本地库似乎都过不了，诸如!MSR !rfn本地 .gen!或不带后缀的也一样

anthonyqian

ANY.LNK 发表于 2022-4-29 22:22
测试本地库似乎都过不了，诸如!MSR !rfn本地 .gen!或不带后缀的也一样

微软不带MTB的病毒家族名就很独特了，我都无法解读

ANY.LNK

anthonyqian 发表于 2022-4-29 22:23
微软不带MTB的病毒家族名就很独特了，我都无法解读

事实上，微软在官方文档里写的后缀只占了报毒名的一部分，像诸如!atmn !mclg !MTB !MSR 都没写进去指明是什么，而!rfn !bit 等只是含混地说是某些威胁的内部名称。有些虽没指明但可以大概猜出来，比如!plock是上一代云杀，!cl是下一代云杀，!ml是机器学习，等

anthonyqian

ANY.LNK 发表于 2022-4-29 22:37
事实上，微软在官方文档里写的后缀只占了报毒名的一部分，像诸如!atmn !mclg !MTB !MSR 都没写进去指明是 ...

后缀倒还好，主要是平台（Win32）后面的家族名 我看不懂 估计只有微软内部人士才能解读吧