和大家说个鬼故事，毛豆HIPS彻底被过，市面上大部分反勒索被虐体无完肤。

lixihong10

最近有个比较骚气的勒索病毒，百科介绍：https://baike.baidu.com/item/Magniber/60922057

测试发现市面上大部分反勒索工具都被虐的体无完肤
瑞星之剑，AppCheck ，Acronis等点击查看。



如此骚气，必须用毛豆跑一遍，结果直接扑街，彻底被过。


HIPS 日志如下：   红色标注为阻止，绿色标注为允许

日期和时间	应用程序	行为	目标
2022-05-14 11:09:56	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67c.LOG
2022-05-14 11:09:51	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67c.LOG
2022-05-14 11:09:43	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67b.LOG
2022-05-14 11:09:33	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\Users\Administrator\AppData\Local\Temp\MSI9f67b.LOG
2022-05-14 11:09:28	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\SourceHash{5A2F4D37-FBA4-45A8-9319-733FF36EF441}
2022-05-14 11:09:16	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\SourceHash{5A2F4D37-FBA4-45A8-9319-733FF36EF441}
2022-05-14 11:09:16	C:\Windows\System32\msiexec.exe	访问内存	C:\Program Files\COMODO\COMODO Internet Security\cis.exe
2022-05-14 11:09:13	C:\Windows\System32\msiexec.exe	创建进程	C:\Windows\System32\msiexec.exe
2022-05-14 11:09:10	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\MSI7946.tmp
2022-05-14 11:09:07	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Temp\~DF09110C799C15BBF3.TMP
2022-05-14 11:09:04	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\inprogressinstallinfo.ipi
2022-05-14 11:09:02	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:09:00	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer
2022-05-14 11:08:56	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.log
2022-05-14 11:08:50	C:\Windows\System32\msiexec.exe	修改文件	C:\Windows\Installer\a2d0a.msi
2022-05-14 11:08:49	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS
2022-05-14 11:08:47	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:08:46	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS
2022-05-14 11:08:41	C:\Windows\System32\msiexec.exe	修改注册表项	HKLM\SYSTEM\ControlSet001\Services\VSS\Diag
2022-05-14 11:08:37	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemEnvironment
2022-05-14 11:08:36	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	C:\MSI9f679.tmp
2022-05-14 11:08:34	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Restore
2022-05-14 11:08:32	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemEnvironment
2022-05-14 11:08:31	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Backup
2022-05-14 11:08:29	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Restore
2022-05-14 11:08:28	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemTime
2022-05-14 11:08:25	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Backup
2022-05-14 11:08:22	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Tcb
2022-05-14 11:08:21	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.SystemTime
2022-05-14 11:08:17	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Tcb
2022-05-14 11:08:14	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	C:\Windows\System32\msiexec.exe
2022-05-14 11:08:09	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	IMsiServer
2022-05-14 11:08:05	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	修改文件	\Device\MountPointManager
2022-05-14 11:08:04	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Shutdown
2022-05-14 11:08:00	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	访问COM接口	LocalSecurityAuthority.Shutdown
2022-05-14 11:07:54	C:\Users\Administrator\Desktop\Magniber五一最新样本.msi	安装钩子	C:\Windows\System32\MSCTF.dll

接着不信邪的我不管桌面，直接修改所有规则直接阻止D盘文件修改权限。

这一步我操作不当，直接阻止是有效的。

但如果不添加阻止，仅添加到 “被保护文件”中则会被过。
测试视频：https://wwp.lanzouq.com/iyLD504uk52h 密码:bhwt
过程详情参考：
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2234989&pid=50977279&fromuid=560205

结果如下：



现在我宣布，毛豆HIPS GG！

con16

是最新8032還是8012

看一下你說那個，被cav入庫

tg123321

沙盒也过了？

con16

tg123321 发表于 2022-5-14 11:49
沙盒也过了？

他那個截圖沒開沙盒，單測HIPS

這個目前已經被毛豆評級惡意

zhangkun0214

沙盒入沙试试

lixihong10

con16 发表于 2022-5-14 11:46
是最新8032還是8012

看一下你說那個，被cav入庫

8012 8032 都测试了，没有联网单纯的HIPS测试。
用的官网最新的包。

con16

lixihong10 发表于 2022-5-14 12:02
8012 8032 都测试了，没有联网单纯的HIPS测试。
用的官网最新的包。

可否看一下文件評級

假如盼為未知，最後防線就是自動沙盒

lixihong10

zhangkun0214 发表于 2022-5-14 12:00
沙盒入沙试试

沙盒没有穿透，只是HIPS的FD防御彻底崩盘。

lixihong10

tg123321 发表于 2022-5-14 11:49
沙盒也过了？

只是HIPS的文件保护被过了，沙盘还是安全的可以放心用。

但是如果病毒加一个反沙，又冒充的update，这样直接中招。所以这样本很骚气。

con16

現在用毛豆一定得用他的自動沙盒
HIPS按確認給過，最後就要靠沙盒攔

反沙盒病毒現在是不少，不過大部分都判為未知程序，還是得進沙盒

都判為未知，你自己放出來就沒辦法...........

至於VirusScope就不要指望，有時候不是秒殺，等分析判別有些也文件被加密

lixihong10

con16 发表于 2022-5-14 12:03
可否看一下文件評級

假如盼為未知，最後防線就是自動沙盒

因为MSI是通过msiexec.exe解析安装的，而msiexec.exe又是系统程序，所以被评级为信任的。
需要开启脚本分析，这里会有个证书验证会默认入沙。


但是如果关了脚本分析，那么就只能GG!

lixihong10

con16 发表于 2022-5-14 12:09
現在用毛豆一定得用他的自動沙盒
HIPS按確認給過，最後就要靠沙盒攔

自动沙盒是可以，但是这个HIPS被过了也是事实。
等会我找个签名给这个样本加上看看会怎么样。

con16

現在就感覺不能單用他家其中一個功能
照毛豆當初設計
CAV掃不到就要自動入沙盒，HIPS這幾年沒什麼進步bug還是有
白+黑那個剛好，黑名單CAV就是他家弱項


最近感覺他們CAV入庫稍微比以前擺爛時候好一點

lixihong10

con16 发表于 2022-5-14 12:25
現在就感覺不能單用他家其中一個功能
照毛豆當初設計
CAV掃不到就要自動入沙盒，HIPS這幾年沒什麼進步bug ...

直接看图吧。

tg123321

lixihong10 发表于 2022-5-14 12:30
直接看图吧。

啊，这就过了？

anthonyqian

con16 发表于 2022-5-14 11:46
是最新8032還是8012

看一下你說那個，被cav入庫

Comodo基本上Malware@.... 的检测都是基于MD5，完全不能检测到Magniber的新变种。Comodo的引擎检测易语言和损坏的PE文件最擅长。

lixihong10

tg123321 发表于 2022-5-14 12:35
啊，这就过了？

嗯，HIPS过了，自动沙盒加签名过了。

con16

加簽名就白+黑

看一下官方論壇有人回說還是擋住Malware@

目前那個變種都是基於那個外洩簽名，像壇友加其他的就可能過

lvseqiji

这不是早就知道了吗，只要白加黑基本上毛豆直接GG。
关键是现在白签名泄露真不是什么稀罕事情了，安全软件应该发展更加复杂的信誉认证方式

Cel3mt

你后面在针对 所有程序 单测HIPS的时候，有没有事先在受保护的文件/文件夹里添加了 D:\ 这个目录？