DiskWriter

hushuai

huangzihang 发表于 2022-6-6 11:12
你被推送更新了吗，我几小时前被推送了一个更新，主程序的更新，需要重启的那种，内容是改进检测，没说是 ...

请～

huangzihang

hushuai 发表于 2022-6-7 00:15
请～

寄！！！！
BD官方社区说是在接下来几周，再等等吧不知道会不会接着摆烂

hushuai

huangzihang 发表于 2022-6-6 11:23
寄！！！！
BD官方社区说是在接下来几周，再等等吧不知道会不会接着摆烂

我是不信了。别看BD社区在那嘴硬，按说Magniber这波已经流行了好几个月了，BD不太可能不当回事。我认为BD内部有以下几种可能：
1. 我们试了好几周了，就是技术不行，弄不出来通杀特征
2. 我们的启发杀没那么强，但我们不敢说
3. 微软的锅，他们有漏洞不补，我ATD防不住的其他杀软主防也防不住啊

huangzihang

hushuai 发表于 2022-6-7 00:30
我是不信了。别看BD社区在那嘴硬，按说Magniber这波已经流行了好几个月了，BD不太可能不当回事。我认为BD ...

（猜的）主防方面，ATD能拦截那个r什么32的注入没理由不能拦截msi，再说启发，智量金山都能做出通杀特征，诺顿BD他们这种常见霸榜AVT AVC UNNEWS PCMAG前三的厂说没技术搞我是不太信的，关键是注入r什么32和注入msi逻辑几乎一模一样，居然能拦r什么32不能拦msi就算是担心误报，这个玩意的特征不要太明显，操作常见文件类型，读取文档文件夹，同时注入r什么32和msi，这么明显的特征用心搞搞绝对能解决。貌似Norton也没做特征，advmlB杀也扫不出来这玩意，Norton和BD这俩都没这技术我是绝对不信的。

技术力不足的话，对0day的高查杀率迫于技术壁垒可能确实做不到，但是BD这玩意连0day都有高查杀率，这玩意流行这么久了，我觉得但凡是个叫得上名字的厂想搞是肯定可以搞出来的，malwarebytes扫描ai引擎都能通杀，BD号称常年霸榜各大榜单前三甚至第一，经常和卡巴对比的，连wcy第一波爆发都能杀的，MITRE ATT&CK报告上2022又是第一的，我是真不相信它做不出来特征，只是不知道为啥就是不当回事

要是什么都靠微软的话这些杀毒软件就真没啥存在的必要了……几乎任何一种威胁随着系统迭代或者是补丁最后都无法传播甚至无法运行了

hushuai

huangzihang 发表于 2022-6-6 11:46
（猜的）主防方面，ATD能拦截那个r什么32的注入没理由不能拦截msi，再说启发，智量金山都能做出通杀特征 ...

这个咱就得一个一个讨论了。
主防这边，Magniber明显是有些说法的。使用regsvr32注册dll之类的动作都是一个安装程序正常的动作，调用svchost也不罕见。BD能把这些动作判定为恶意并且拦截的确证明ATD真的很强，但却漏了关键的加密一步。之前有分析加密是由系统组件工作的，这也能解释为什么各大杀软用主防杀Magniber如此难做。当然现在咱也不知道这么长时间BD团队没办法在主防特征和压误报之间取得平衡。
现在BD最大的问题就是启发和云杀。国内软件不知道，国外杀软能启发通杀Magniber的目前只有ESET和卡巴（有其他的大家可以补充）。BD本来一直启发也不太强，看看样本区就知道了。鉴于Magniber已经流行好几个月了，样本已经有上百个了，我只能从此合理推断BD的启发引擎不太行。
最后就是底裤云杀了。BD的云杀响应是真的慢。对于卡巴miss的样本，一般有人测试之后20分钟后卡巴就会云杀，安全感十足。毕竟这年头个人用户碰到极度新鲜的，还面杀卡巴的样本概率跟买彩票差不多。而BD呢，一般8到12小时才能响应。我也不知道BD是注重隐私所以新样本默认不上传还是纯粹的反应慢，这种响应速度可真不能让人放心。

所以在Mangiber上，BD的弱点就暴露了。BD过于依赖入库杀和ATD，这俩可以cover 90%的病毒，剩下的靠云杀可以cover 5%。好处是离线查杀率也很高，但一旦ATD不能cover且入库速度慢，那就基本必miss。而卡巴则是主防启发云杀多点开花，不全押宝在一两点上。能靠85%的主防，通杀的启发，迅速的入库，云拉黑迅速响应。卡巴的主防跟ATD差点，启发跟ESET差点，但也都是前三的水平。这两家策略各有优劣，但Magniber算是放大了BD的缺点

诺顿？诺顿现在还提升杀毒技术吗？

huangzihang

hushuai 发表于 2022-6-7 01:34
这个咱就得一个一个讨论了。
主防这边，Magniber明显是有些说法的。使用regsvr32注册dll之类的动作都是 ...

过度依赖入库我是有感觉的，但其实样本区启发杀不少，绝对称不上弱，HEUR报法很少见但是Gen:variant.trojan.xxxxxxxx也是启发，报已知家族的变种，经常见到。只有genericKD是入库，双击kill的动态启发也是经常出现的。BD掐断攻击链很有一手，你看The PC security channel测试BD的时候经常用来运行病毒的python脚本被掐。既然如此，那么能检测到一条链上的行为为什么结束不了msi本体，我个人还是觉得说到底可能是这个样本流行度远比卡饭样本区出现的频率低所以他们根本懒得搞，就类似智量用户也基本是卡饭用户的逻辑。如果真跟永恒之蓝一样普遍不可能反应这么慢的。

当然要是几周后BD真的通杀了，那就被打脸了

hushuai

huangzihang 发表于 2022-6-6 14:03
过度依赖入库我是有感觉的，但其实样本区启发杀不少，绝对称不上弱，HEUR报法很少见但是Gen:variant.troj ...

算了吧，这Magniber都猖狂好几个月了，在等几周以后才能通杀，到底是在打谁的脸啊
Magniber的确不可能像永恒之蓝WannaCry那样流行度，但是可一点都不罕见。下面是卡巴的Threat Map


可以见到Magniber最猖狂的是南韩，也是一开始Magniber主要攻击目标，国内也能排前5。另外，澳洲也能排到第二名。欧洲和北美流行度不高。
如果BD真的是像你说觉得流行度不够高所以不做通杀，那才更可怕，也更不负责。一款杀软除了世界大爆发的病毒，其他时候要花几个月时间反应？那到时候中勒索了是不是还得赖咱们没有活在大欧洲和大美利坚

huangzihang

hushuai 发表于 2022-6-7 05:17
算了吧，这Magniber都猖狂好几个月了，在等几周以后才能通杀，到底是在打谁的脸啊
Magniber的确不 ...

唉

Jirehlov1234

hushuai 发表于 2022-6-6 21:17
算了吧，这Magniber都猖狂好几个月了，在等几周以后才能通杀，到底是在打谁的脸啊
Magniber的确不 ...

和社区与舆论热度也是有关系的。参考Follina漏洞，如果不是nao_sec的推引发热议，然后几个大媒体都报道了，微软估计也不会找回几个月前的issue并且开cve。
Maginber这个除了年初刚开始的时候几个大媒体包括bleepingcomputer报道了外，几乎没有跟进（尤其是技术跟进）的媒体/安全厂商的报告，推特上也见不到热度。
于是就掩耳盗铃了。

多变的风向

hushuai 发表于 2022-6-7 01:34
这个咱就得一个一个讨论了。
主防这边，Magniber明显是有些说法的。使用regsvr32注册dll之类的动作都是 ...

现在有杀软能精准的成功拦截各种Magniber的加密动作吗