#Magniber msi 1X (2022-05-27-01)

显示全部楼层 · 发表于 2022-5-27 22:25:10

本帖最后由 a27573 于 2022-5-27 22:26 编辑

00006666 发表于 2022-5-27 21:17
你试试ESET能不能阻断这个样本的注入，只要能在注入阶段识别进程并终止进程，基本就能防御。

去年的 EIS （15.0.21.0）

手动设置 HIPS 规则可以拦截注入，桌面文件未被加密

注入的不止 sihost.exe、svchost.exe、explorer.exe

@ICzcz @swizzer

按 @Jirehlov1234 所说，这样误报太多。请教一下，正常的 msi 安装过程也需要注入吗？

显示全部楼层 · 发表于 2022-5-27 22:27:45

a27573 发表于 2022-5-27 22:25
去年的 EIS （15.0.21.0）

手动设置 HIPS 规则可以拦截注入，桌面文件未被加密

有点好奇规则是什么

显示全部楼层 · 发表于 2022-5-27 22:30:22

a27573 发表于 2022-5-27 14:25
去年的 EIS （15.0.21.0）

手动设置 HIPS 规则可以拦截注入，桌面文件未被加密

真实世界的误报情况@智量官方应该能给出更客观的结果。
Magniber这个例子必须要比较多的条件才能压误报，单步的话用户交互没问题，静默情况下是不推荐的

显示全部楼层 · 发表于 2022-5-27 22:39:37

a27573 发表于 2022-5-27 22:25
去年的 EIS （15.0.21.0）

手动设置 HIPS 规则可以拦截注入，桌面文件未被加密

从沙箱结果来看确实不止那三个，不过我测试下来只是注入了svchost和sihost。

贸然阻止msiexec注入的话，不确定带来的误报会如何，反正我是不太建议这么搞的···

显示全部楼层 · 发表于 2022-5-27 22:39:39

ICzcz 发表于 2022-5-27 22:27
有点好奇规则是什么

名称写错了。。。

显示全部楼层 · 发表于 2022-5-27 22:44:00

swizzer 发表于 2022-5-27 22:39
从沙箱结果来看确实不止那三个，不过我测试下来只是注入了svchost和sihost。

贸然阻止msiexec注入的话 ...

确实
大概只是证明了 ESET 拦截注入的能力没有像拦截底层磁盘访问/加载驱动/安装钩子那样废掉？

显示全部楼层 · 发表于 2022-5-27 22:45:33

Jirehlov1234 发表于 2022-5-27 22:30
真实世界的误报情况@智量官方应该能给出更客观的结果。
Magniber这个例子必须要比较多的条件才能压误报 ...

也不是完全静默。。。设置了通知用户

显示全部楼层 · 发表于 2022-5-27 22:52:57

a27573 发表于 2022-5-27 22:44
确实
大概只是证明了 ESET 拦截注入的能力没有像拦截底层磁盘访问/加载驱动/安装钩子那样废掉？

我记得ESET的HIPS之前的看家本领就是防注入

显示全部楼层 · 发表于 2022-5-27 22:55:49

swizzer 发表于 2022-5-27 22:52
我记得ESET的HIPS之前的看家本领就是防注入

这个结论似乎来源于墨家小子（可能记错）对 ESET 和 SpyShelter 的比较测试？
那个测试似乎样本数量比较少

还是说，有其他信息来源？

显示全部楼层 · 发表于 2022-5-27 22:58:44

a27573 发表于 2022-5-27 22:55
这个结论似乎来源于墨家小子（可能记错）对 ESET 和 SpyShelter 的比较测试？
那个测试似乎样本数量比 ...

墨家小子前前后后试过不少样本吧，ESET表现都很不错

[病毒样本] #Magniber msi 1X (2022-05-27-01)

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分