#Magniber msi 1X(2022-06-01-01)

Kingbatsoft

lvseqiji 发表于 2022-6-1 18:38
这个确实是推荐拉满的，没啥误报

交互模式就是世界最先进的人工智能

wwwab

swizzer 发表于 2022-6-1 18:26
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2236022&pid=51066364&fromuid=1068 ...

火绒那个是固定的，不管是什么勒索的样本怎么个逻辑什么的只要是msi，文件实时监控就不扫，提的一个没有变量的bug

智量的主防你也不知道检测点是怎么做的，而且magniber有的时候改动很大，你也没法说和上次的真的一样，也不是固定还有变量

火绒本来就是慢速度，智量也说了很久了到现在还没更新

这不一样的吧

wwwab

而且火绒自定义扫描还有通杀

智量就双击一遍或者入库一遍来个Generic

msi里面本来也就没有可执行文件

而且智量用户针对magniber的用户数量和反馈数量也真的不算多吧

漂洋过海123

智量真实群体用户还是太少了

火绒文件实时监控摆烂真实世界中magniber的不少

智量很明显有几个后面的magniber主防都是漏掉的，有多少真实世界反馈开了中的

产生这种怀疑很正常，因为可能根本就不急，而且甚至可能不发出来都还不知道智量主防还会挡不住

swizzer

wwwab 发表于 2022-6-1 18:45
火绒那个是固定的，不管是什么勒索的样本怎么个逻辑什么的只要是msi，文件实时监控就不扫，提的一个没有 ...

智量目前无法拦截主要是因为样本使用Direct System Calls技术绕过了R3 Hook，从而绕过智量对注入的检测，注入白程序然后加密。这个bug同样没有变量啊

lvseqiji

漂洋过海123 发表于 2022-6-1 18:56
智量真实群体用户还是太少了

火绒文件实时监控摆烂真实世界中magniber的不少

智量早就知道新变种拦不住了，说在搞新技术杀magniber

yy688go

avira扫描miss

wwwab

swizzer 发表于 2022-6-1 18:57
智量目前无法拦截主要是因为样本使用Direct System Calls技术绕过了R3 Hook，从而绕过智量对注入的检测， ...

我样本发送之前没条件给你双击

我是在10楼at的，楼上结果都只能看出来样本仍然调用regsvr32和注入

后续00006666才发现样本为“盲注”：

6楼00006666后续编辑帖子发现注入进程为ctfmon.exe

而之前的样本，回帖结果注入的仍然是sihost svchost 和新增的 rdpclip，也无法确定是否为“盲注”：

至此，我无法确定与上一回样本行为是否一致、对智量主防有无影响和病毒是否又进行进一步的优化改良（上回样本就是病毒突然优化改良，单看测试结果，sihost svchost和之前差不多，但是其实并不一样了，更新迭代速度猝不及防，你也没法说这个样本或者下面的一个或者几个样本有无具体很大的差距，或者区别）

wwwab

而且火绒文件实时监控那个问题从头到尾均能复现

智量只有后面的几个更新迭代版本出了问题，前面版本却又可以拦截

你要说把这两个都当成bug，概率问题，针对于magniber的不可控性也肯定是后面的那个大

swizzer

wwwab 发表于 2022-6-1 19:09
我样本发送之前没条件给你双击

我是在10楼at的，楼上结果都只能看出来样本仍然调用regsvr32和注入

你要是不明白啥叫Direct System Calls，我建议你去找文章读一读

要么再说明白一点，智量不拦截不是因为注入的目标程序不同，而是注入行为本身绕过了R3 Hook，明白了吗，这是智量的bug所在

另外上一版本的加密主体也不仅仅是rdpclip，Jirehlov那个回帖不准确，他本人后来也做了补充


前面的版本智量能拦截是因为加密行为是msiexec发起的，样本那时使用NtSetThreadContext是为了删除卷影还原点，并没有为了加密而注入系统程序，这么说不知道你明不明白