关于magniber病毒

显示全部楼层 · 发表于 2022-5-19 22:39:07

来自病毒样本区hxxps://bbs.kafan.cn/thread-2235336-1-1.html
本人测试病毒时，有且只有第一次才触发了勒索行为。当时hips处于自动模式，文件成功被加密而hips未捕获到任何恶意行为，之后无论怎么回滚快照都无法再次复现

。想问问有谁能将自动模式改为交互模式，并记录下软件运行到勒索时触发的弹窗的？

（测试时请将其放在低限制栏并询问所有操作）

显示全部楼层 · 发表于 2022-5-19 22:43:20

hips相关设置没有开记录到日志吗

显示全部楼层 · 发表于 2022-5-19 22:45:30

本帖最后由 anxiety520 于 2022-5-19 22:46 编辑

Jirehlov1234 发表于 2022-5-19 22:43
hips相关设置没有开记录到日志吗

记录了，但高危行为一个都没有，这病毒刚测完第一遍这会测不了，给uds或vho就很难复现了

显示全部楼层 · 发表于 2022-5-19 22:56:55

anxiety520 发表于 2022-5-19 22:45
记录了，但高危行为一个都没有，这病毒刚测完第一遍这会测不了，给uds或vho就很难复现了

每个询问都带记录的话，没记录的交互下也不会有弹窗了

显示全部楼层 · 发表于 2022-5-19 23:04:33

本帖最后由 00006666 于 2022-5-20 00:33 编辑

编辑

显示全部楼层 · 发表于 2022-5-19 23:20:57

00006666 发表于 2022-5-19 23:04
感觉这个和远程线程注入有很大关系，后续的加密行为都是由被注入的正常系统文件来完成。

@Jirehlov1234 ...

直接把样本的权限挂日志记录和询问应该就可以，如果不济可以把msiexec.exe甚至explorer.exe，windows session manager之类的挂记录，不可能看不到的。
不过楼主这个我猜是想用比较实用的规则来防御而不是记录。。。。

显示全部楼层 · 发表于 2022-5-19 23:22:57

本帖最后由 00006666 于 2022-5-19 23:51 编辑

编辑

显示全部楼层 · 发表于 2022-5-19 23:36:02

Jirehlov1234 发表于 2022-5-19 22:56
每个询问都带记录的话，没记录的交互下也不会有弹窗了

不会的，你可以自己尝试一下

显示全部楼层 · 发表于 2022-5-19 23:41:42

本帖最后由 00006666 于 2022-5-20 00:33 编辑

编辑

显示全部楼层 · 发表于 2022-5-19 23:44:22

anxiety520 发表于 2022-5-19 23:36
不会的，你可以自己尝试一下

没有测试机器，告辞（
没有记录说明这条没触发，交互的时候怎么可能弹窗（？）

[交流探讨] 关于magniber病毒