和大家说个鬼故事，毛豆HIPS彻底被过，市面上大部分反勒索被虐体无完肤。

显示全部楼层 · 发表于 2022-5-14 11:45:00

本帖最后由 lixihong10 于 2022-5-15 09:51 编辑

最近有个比较骚气的勒索病毒，百科介绍：https://baike.baidu.com/item/Magniber/60922057

测试发现市面上大部分反勒索工具都被虐的体无完肤
瑞星之剑，AppCheck ，Acronis等点击查看。

如此骚气，必须用毛豆跑一遍，结果直接扑街，彻底被过。

HIPS 日志如下：红色标注为阻止，绿色标注为允许

日期和时间	应用程序	行为	目标
2022-05-14 11:09:56	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67c.LOG
2022-05-14 11:09:51	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67c.LOG
2022-05-14 11:09:43	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67b.LOG
2022-05-14 11:09:33	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67b.LOG
2022-05-14 11:09:28	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\SourceHash{5A2F4D37-FBA4-45A8-9319-733FF36EF441}
2022-05-14 11:09:16	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\SourceHash{5A2F4D37-FBA4-45A8-9319-733FF36EF441}
2022-05-14 11:09:16	C:\Windows\System32\msiexec.exe	访问内存	C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2022-05-14 11:09:13	C:\Windows\System32\msiexec.exe	创建进程	C:\Windows\System32\msiexec.exe
2022-05-14 11:09:10	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\MSI7946.tmp
2022-05-14 11:09:07	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Temp\~DF09110C799C15BBF3.TMP
2022-05-14 11:09:04	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\inprogressinstallinfo.ipi
2022-05-14 11:09:02	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:09:00	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer
2022-05-14 11:08:56	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.log
2022-05-14 11:08:50	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\a2d0a.msi
2022-05-14 11:08:49	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS
2022-05-14 11:08:47	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:08:46	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS
2022-05-14 11:08:41	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:08:37	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemEnvironment
2022-05-14 11:08:36	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\MSI9f679.tmp
2022-05-14 11:08:34	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Restore
2022-05-14 11:08:32	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemEnvironment
2022-05-14 11:08:31	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Backup
2022-05-14 11:08:29	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Restore
2022-05-14 11:08:28	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemTime
2022-05-14 11:08:25	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Backup
2022-05-14 11:08:22	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Tcb
2022-05-14 11:08:21	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemTime
2022-05-14 11:08:17	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Tcb
2022-05-14 11:08:14	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	C:\Windows\System32\msiexec.exe
2022-05-14 11:08:09	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	IMsiServer
2022-05-14 11:08:05	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	\Device\MountPointManager
2022-05-14 11:08:04	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Shutdown
2022-05-14 11:08:00	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Shutdown
2022-05-14 11:07:54	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	安装钩子	C:\Windows\System32\MSCTF.dll

接着不信邪的我不管桌面，直接修改所有规则直接阻止D盘文件修改权限。

这一步我操作不当，直接阻止是有效的。

但如果不添加阻止，仅添加到 “被保护文件”中则会被过。
测试视频：https://wwp.lanzouq.com/iyLD504uk52h 密码:bhwt
过程详情参考：
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2234989&pid=50977279&fromuid=560205

结果如下：

现在我宣布，毛豆HIPS GG！

显示全部楼层 · 发表于 2022-5-14 11:46:01

本帖最后由 con16 于 2022-5-14 11:50 编辑

是最新8032還是8012

看一下你說那個，被cav入庫

显示全部楼层 · 发表于 2022-5-14 11:49:04

沙盒也过了？

显示全部楼层 · 发表于 2022-5-14 11:57:38

tg123321 发表于 2022-5-14 11:49
沙盒也过了？

他那個截圖沒開沙盒，單測HIPS

這個目前已經被毛豆評級惡意

显示全部楼层 · 发表于 2022-5-14 12:00:31

沙盒入沙试试

显示全部楼层 · 发表于 2022-5-14 12:02:09

con16 发表于 2022-5-14 11:46
是最新8032還是8012

看一下你說那個，被cav入庫

8012 8032 都测试了，没有联网单纯的HIPS测试。
用的官网最新的包。

显示全部楼层 · 发表于 2022-5-14 12:03:01

lixihong10 发表于 2022-5-14 12:02
8012 8032 都测试了，没有联网单纯的HIPS测试。
用的官网最新的包。

可否看一下文件評級

假如盼為未知，最後防線就是自動沙盒

显示全部楼层 · 发表于 2022-5-14 12:03:03

zhangkun0214 发表于 2022-5-14 12:00
沙盒入沙试试

沙盒没有穿透，只是HIPS的FD防御彻底崩盘。

显示全部楼层 · 发表于 2022-5-14 12:05:35

tg123321 发表于 2022-5-14 11:49
沙盒也过了？

只是HIPS的文件保护被过了，沙盘还是安全的可以放心用。

但是如果病毒加一个反沙，又冒充的update，这样直接中招。所以这样本很骚气。

显示全部楼层 · 发表于 2022-5-14 12:09:32

現在用毛豆一定得用他的自動沙盒
HIPS按確認給過，最後就要靠沙盒攔

反沙盒病毒現在是不少，不過大部分都判為未知程序，還是得進沙盒

都判為未知，你自己放出來就沒辦法...........

至於VirusScope就不要指望，有時候不是秒殺，等分析判別有些也文件被加密

[讨论] 和大家说个鬼故事，毛豆HIPS彻底被过，市面上大部分反勒索被虐体无完肤。

本帖子中包含更多资源

评分