搜索
楼主: 众生悟道
收起左侧

[病毒样本] 【非常凶悍,让所有主流杀软沦陷的病毒】

  [复制链接]
00006666
发表于 前天 20:44 | 显示全部楼层
a27573 发表于 2022-5-14 20:40
R3 Hook 实现的吗?感觉可能能绕过

智量因为比较小众,然后可能研究它的攻击者比较少
a27573
发表于 前天 20:48 | 显示全部楼层
00006666 发表于 2022-5-14 20:44
智量因为比较小众,然后可能研究它的攻击者比较少

R3 Hook 有通用绕过方法的

评分

参与人数 1人气 +3 收起 理由
00006666 + 3

查看全部评分

swizzer
发表于 前天 21:08 | 显示全部楼层
a27573 发表于 2022-5-14 20:40
R3 Hook 实现的吗?感觉可能能绕过

似乎是的
00006666
发表于 前天 21:21 | 显示全部楼层

话说我感觉智量如果往EDR方面发展似乎是挺有潜力的,以后可以增加一下类似其他EDR那种显示完整攻击链这种功能。
a27573
发表于 前天 21:24 | 显示全部楼层
00006666 发表于 2022-5-14 21:21
话说我感觉智量如果往EDR方面发展似乎是挺有潜力的,以后可以增加一下类似其他EDR那种显示完整攻击链这种 ...

任何个人杀软加上 EDR 都是巨大的提升
可惜这玩意是企业版赚钱的重点,不会下放,一般人也玩不转

评分

参与人数 1人气 +2 收起 理由
00006666 + 2

查看全部评分

swizzer
发表于 前天 21:36 | 显示全部楼层
00006666 发表于 2022-5-14 21:21
话说我感觉智量如果往EDR方面发展似乎是挺有潜力的,以后可以增加一下类似其他EDR那种显示完整攻击链这种 ...

个人用户基本玩不转这玩意儿的

看起来智量一时半会儿也达不到进军企业市场的水准
a27573
发表于 前天 21:50 | 显示全部楼层
本帖最后由 a27573 于 2022-5-15 01:28 编辑

实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机,LTSC 2019

首先是锁库,这个时间够久了吧



ESET HIPS 设置为拦截这几个样本的所有注册表、文件、应用程序操作
但对 BSJzx毁灭性病毒(最终版本) 其实只要拦截注册表操作就够了
对 BSJ电脑病毒 还要禁止它启动net.exe,所以要用到应用程序操作


首先是 BSJzx毁灭性病毒(最终版本)
我测了三次
第一次没截图,但重启之后正常,只是系统时间被改了

第二次:

首先,按楼主的说法,UAC 选是或否没有影响,我就先选否

又弹了一次(可能是我多点了),继续否

无事发生

这次选是

可以看见桌面崩溃

重启

可见除正常系统时间外均正常

由于系统时间问题,ESET 激活时间被卡了 bug
顺便提一下,修改系统时间干掉卡巴已经是老梗了,不能因为卡巴提醒你把系统时间改回来就认为卡巴无法启动

可能同样是因为系统时间原因,此时打开 ESET 日志时 ESET 崩溃

开启网络,自动同步修复时间问题

此时 ESET 日志可正常打开,可见拦截了大量注册表操作
至此,确认防御成功

第三次,尝试不重启直接恢复:

用 Ctrl+Alt+Del 呼出任务管理器,选择“Windows 资源管理器”,右键重启

恢复正常

BSJ电脑病毒

直接运行,桌面崩溃

使用任务管理器重启 explorer


恢复正常

C盘格式化 因为我没装.net,所以没测,但理论上来说更容易防御

结论:
最近 ESET 在卡饭被某些人称为“高级启发式扫描器”,但就是这样一个 HIPS 可玩性不强、“过了扫描就 GG”的杀软,经过设置仍然可以拦截此病毒对系统的破坏。
这些低技术样本对于使 ESET 摆脱上述评价帮助不大,但可以说明,其他拥有较为完善的 HIPS 的杀毒软件(如卡巴)经过适当的设置后应当完全有能力做到同样效果甚至更好。

也许有人要说:这样的 HIPS 规则会使许多软件无法运行,不能作为实用规则;这次测试完全是针对性测试,对日常使用来说没有意义。

但是,我这样设置一方面是为了省时间,只是为了验证这个恶意软件是否真像楼主所说的那么玄乎(HIPS 正确设置后也无法拦截)
另一方面是因为 ESET 的 HIPS 可玩性太差,比如缺乏分组和通配符功能,我也懒得仔细打磨

这类恶意软件所修改的注册表,所调用的程序,所修改的文件,是可以整理归纳出来的,在具有完善 HIPS 的杀软中,针对这些敏感操作设置规则是完全可行的(其实 ESET 也行,不过可能麻烦点),甚至已经是一些杀软的自带功能(如火绒)

至此可以得出结论:这个样本并不像楼主所言那么玄乎,楼主说无法拦截很可能只是因为设置不正确

@众生悟道 @ICzcz @多变的风向 @LastF1ame_


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
Eset小粉絲 + 1 精品文章
LastF1ame_ + 1 加分鼓励

查看全部评分

ICzcz
发表于 前天 22:25 | 显示全部楼层
a27573 发表于 2022-5-14 21:50
实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机,LTSC 2019

厉害

ESET的HIPS少见发威了呢

这些低技术样本对于使 ESET 摆脱上述评价帮助不大


不过确实是这样
swizzer
发表于 前天 22:27 | 显示全部楼层
本帖最后由 swizzer 于 2022-5-14 22:33 编辑
a27573 发表于 2022-5-14 21:50
实测 ESET 可以拦住这个 BSJ 病毒
Hyper-V 虚拟机,LTSC 2019

说实话,拿HIPS干这几个属于是杀鸡焉用牛刀,毕竟UAC就能拦截这几个玩意儿

楼主说那么玄乎,很可能只是懒得/不会/以为自己会但是不会设置卡巴的HIPS
而且,我实在是不明白UAC选否之后样本是怎么继续为非作歹的,更不明白卡巴的HIPS如何能够在拦截样本一切操作的情况下被穿

当然改系统时间干掉卡巴倒是老生常谈的问题了,卡巴对于这个问题似乎还没有采取实质性的措施



附上一点前后矛盾的发言

我知道你的意思,你就是把那些权限全部阻止,它照样破坏,样本运行后,KES11.6的授权直接就没了,病毒库也更新不了,重启后,KES正常了,但是系统已经废了,你是没见过厉害的病毒样本,如果未知威胁那么好对付的话,就会有那么多杀软翻车了
你这个杠精,从低限制组,说到高限制,现在又扯到不信任组,凡是个正常程序总需要权限吧,你啥权限都不给,只开个启动,你运行一个软件我看看,只开启动,任何权限不给,连一条记录事件都没有,不管什么程序都是



“把那些权限全部阻止照样破坏”

评分

参与人数 1人气 +2 收起 理由
a27573 + 2

查看全部评分

a27573
发表于 前天 22:45 | 显示全部楼层
ICzcz 发表于 2022-5-14 22:25
厉害

ESET的HIPS少见发威了呢

毕竟是手动把能禁的全禁了,所以只能说明 ESET 的 HIPS 不完全是废品
想了一下,把日志里记录的所有操作都做成“阻止所有应用程序”的规则好像也不会影响系统正常运行,毕竟都是些正常软件不会做的操作,但是总而言之意义不大,能漏的地方太多了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-16 19:01 , Processed in 0.093660 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表