#Magniber msi 1X (2022-06-03-03)

显示全部楼层 · 发表于 2022-6-4 20:30:37

lixihong10 发表于 2022-6-4 14:49
注入代码到其他进程再执行加密过程。COMODO在win10新版和win11的内存保护会漏。
这也意味着COMODO HI ...

这个不先入沙盘吗？

显示全部楼层 · 发表于 2022-6-4 21:23:23

本帖最后由 swizzer 于 2022-6-4 21:27 编辑

多变的风向发表于 2022-6-4 14:53
本来就是个取舍问题没办法判断注入是不是恶意的就好像FS的智能主防智量和360晶核那种属于全部都提示了 ...

智量和360晶核那种属于全部都提示了

360通过庞大的白名单来减少弹窗，智量虽然没有(那么庞大的)白名单，但也并不是有注入就会弹窗/杀掉。事实上智量主防确实是判断注入/低级访问是恶意的才会动作。

而且想判断注入是否恶意并不是不可能，可以对注入后程序的行为赋予更大的恶意分数权重，可以分析注入时调用的API序列，甚至可以对Shellcode做分析。

显示全部楼层 · 发表于 2022-6-4 22:21:10

00006666 发表于 2022-6-4 15:13
主要是360有个足够规模，覆盖面广的云信誉库可以来控制误报，只针对未在云白单的程序进行拦截。

所以3 ...

问题是，很多时候真的不能保证联外网，万一局域网里中了。。。

还有，有些样本会进行断网，请教一下，360 对这方面有防护吗？

显示全部楼层 · 发表于 2022-6-4 22:33:06

本帖最后由 00006666 于 2022-6-4 22:34 编辑

a27573 发表于 2022-6-4 22:21
问题是，很多时候真的不能保证联外网，万一局域网里中了。。。
还有，有些样本会进行断网，请教一 ...

如果是企业级那种隔离网环境，360能用私用云(本地安全大脑之类的)

如果是个人，那肯定没有这些私用云，不过样本除了直接上驱动，不然也做不到单独断开360的云连接，如果是非针对性的，直接断开电脑的所有网络连接，这种行为应该部分会被拦下来，毕竟以往也有很多对抗的例子尝试使用这种方法对抗360，应该有做相应的防护。

不过一上来就断网的勒索病毒我好像没见过......

显示全部楼层 · 发表于 2022-6-4 22:50:22

发错了，编辑

显示全部楼层 · 发表于 2022-6-4 22:51:39

编辑

[病毒样本] #Magniber msi 1X (2022-06-03-03)

浏览过的版块