#Magniber msi 1X (2022-05-27-01)

显示全部楼层 · 发表于 2022-5-27 21:23:43

a27573 发表于 2022-5-27 21:06
这个 Syscall 缓解误报有点多

HMPA整体的误报都很高

显示全部楼层 · 发表于 2022-5-27 21:31:57

00006666 发表于 2022-5-27 21:19
核晶据说有几个地方也能绕过，好像是监控点的问题。

又不是 binary interpretation，总有管不到的地方的

显示全部楼层 · 发表于 2022-5-27 21:32:50

swizzer 发表于 2022-5-27 21:23
HMPA整体的误报都很高

Edge、VMWare 都报？

我用的时候倒是没这么夸张
是改了什么设置吗？

显示全部楼层 · 发表于 2022-5-27 21:39:06

a27573 发表于 2022-5-27 21:32
Edge、VMWare 都报？
我用的时候倒是没这么夸张
是改了什么设置吗？

不报可能是因为你没执行特定操作

报Firefox是我在用VS Code插件把Markdown转PDF，报Edge是当时我试图从Firefox导入密码；

~~至于VMWare被杀, 那个是个意外~~

显示全部楼层 · 发表于 2022-5-27 21:45:30

MD没反应，实机就不双击了

显示全部楼层 · 发表于 2022-5-27 21:51:00

00006666 发表于 2022-5-27 11:24
好像加密行为可能有sihost.exe参与。

不拦截注入且低误报的前提下HIPS不可能防御这个，我放弃了。
卡巴的话msiexec拦截注入即可结束战斗。其他HIPS全局交互监控键值也可以结束战斗。但这些误报太高了。静默感染+静默拦截不可能。

显示全部楼层 · 发表于 2022-5-27 21:53:54

wwwab 发表于 2022-5-27 09:08
我咋感觉这版是随便疯狂注入的

40L有误，见66L

显示全部楼层 · 发表于 2022-5-27 21:55:56

EIS 检测引擎25336，实机不敢双击

时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
2022/5/27 21:54:02;HTTP 过滤器;文件;https://bbs.kafan.cn/forum.php?m ... Win32/Injector.ERRA 特洛伊木马的变量;连接已终止;DESKTOP-9FVS4I6\wl223;尝试通过应用程序访问 Web 时发生事件: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe (03DF42F6A14936736BFA8FF07DF88CF8F873615E).;315F9DFC15B24B92993E52A05EF976802FBF7670;

显示全部楼层 · 发表于 2022-5-27 21:58:31

swizzer 发表于 2022-5-27 15:12
Failed.

@智量官方

感谢测试，我们争取几天内发布新版拦截此类威胁

显示全部楼层 · 发表于 2022-5-27 21:59:52

智量官方发表于 2022-5-27 21:58
感谢测试，我们争取几天内发布新版拦截此类威胁

话说智量那里有没有打算从远程注入那个阶段就阻断样本，这个阶段拦截好像比后面要靠谱。

[病毒样本] #Magniber msi 1X (2022-05-27-01)

本帖子中包含更多资源

评分