#Magniber msi 1X(2022-06-01-01)

显示全部楼层 · 发表于 2022-6-1 22:19:21

本帖最后由 a27573 于 2022-6-1 22:20 编辑

wwwab 发表于 2022-6-1 19:09
我样本发送之前没条件给你双击

我是在10楼at的，楼上结果都只能看出来样本仍然调用regsvr32和注入

如果 ESET 拦截到的确实为注入的话，之前的版本行为也类似盲注
https://bbs.kafan.cn/forum.php?m ... 557&fromuid=1071721
我这里拦到了一堆莫名其妙的目标，但却没出现 ctfmon.exe 和 rdpclip.exe

但智量官人提出，ESET 拦截的可能是“以危险权限打开其它程序进程”，那就不能严格等于注入行为了

显示全部楼层 · 发表于 2022-6-1 22:29:28

huangzihang 发表于 2022-6-1 22:18
那我要气死

bd：

您需要了解，目前市场上没有产品可以为您提供100%的安全，免受互联网上所有恶意物品的攻击。即使使用人工智能、机器学习和行为阻止等最新技术，任何反恶意软件公司也不能保证您100%的保护。

我在虚拟机中针对卡巴斯基测试了大多数勒索软件，卡巴斯基未能检测到它们，甚至其行为阻止和机器学习也无法停止文件加密。

话虽如此，您能否在以下所述网站上上传加密文件样本，让我们知道哪个勒索软件加密了您的文件，以及是否可以解密。

至于您下载的勒索软件样本，您可以共享病毒总链接吗？

此外，请注意不要故意在主机PC上执行未知文件/恶意文件。如果您想这样做，请始终使用虚拟机，这样您的主机PC就不会受到影响。

显示全部楼层 · 发表于 2022-6-1 22:36:26

swizzer 发表于 2022-6-1 19:45
虽然你第一次见火绒这样，但是这并不值得惊讶···

360（甚至智量）都是可以识别到行为发起源 ...

Direct System Calls 技术从最初的 Hell's Gate 到现在，也已经升级过好几代了
我的理解，目前杀软还是以特征的形式检测 Direct System Calls，这些升级就是不断绕过这些特征

显示全部楼层 · 发表于 2022-6-1 22:40:05

wwwab 发表于 2022-6-1 22:29
bd：

这是比烂吗

显示全部楼层 · 发表于 2022-6-1 22:41:07

00006666 发表于 2022-6-1 17:23
这个样本如果没拦截注入，确实不好拦，它现在好像都是注入白进程来加密，和以前变种不一样，我这里发现它 ...

嗯，我上次的测试中也出现了 smartscreen

显示全部楼层 · 发表于 2022-6-1 22:42:12

00006666 发表于 2022-6-1 19:41
magniber好像并没有用啥新技术，用的都是几年前就公开的技术，只是以往这种攻击方式比较少见，没有大面积 ...

老技术也有新花样啊

显示全部楼层 · 发表于 2022-6-1 22:44:34

a27573 发表于 2022-6-1 22:41
嗯，我上次的测试中也出现了 smartscreen

感觉存在有哪个杀软自保不行，自身被注入的可能性。

显示全部楼层 · 发表于 2022-6-1 22:44:40

wwwab 发表于 2022-6-1 14:29
bd：

？这段话是BD邮件回的吗

显示全部楼层 · 发表于 2022-6-1 22:45:51

wwwab 发表于 2022-6-1 22:29
bd：

卡巴拦不了所以我们也摆烂。牛逼了，
但是卡巴加了启发特征码啊，你BD连几天前的Magniber都没入库

显示全部楼层 · 发表于 2022-6-1 22:49:43

lvseqiji 发表于 2022-6-1 22:45
卡巴拦不了所以我们也摆烂。牛逼了，
但是卡巴加了启发特征码啊，你BD连几天前的Magniber都没入库

那段话看起来不像是BD回复的内容。

[病毒样本] #Magniber msi 1X(2022-06-01-01)

浏览过的版块