分享一封BD针对magniber的邮件回复

显示全部楼层 · 发表于 2022-6-10 13:31:19

看来BD不会对外欧美地区外流行的病毒特别的care, 还是卡巴好，对亚洲/国内样本的也能全面覆盖

显示全部楼层 · 发表于 2022-6-10 13:32:20

本帖最后由 LeeHS 于 2022-6-10 13:35 编辑

但有办法阻止加密吗？crowdstrike也能双击杀，但文件已经被加密了

显示全部楼层 · 发表于 2022-6-10 13:37:09

本帖最后由 huangzihang 于 2022-6-10 14:02 编辑

kuroandsan 发表于 2022-6-10 13:27
大佬问下bd免费版砍的功能多么，我看好像没有防火墙来着

防火墙，漏洞扫描，勒索回滚没有。防火墙主要规则是未知程序断网和写规则，不过它有网络威胁防护，虽然没有防火墙限制本地程序联网，但是联的如果是危险ip/网址会被OTP掐断，日常使用也够；漏洞扫描很鸡肋，没啥用，基本就是Windows&软件的更新，开机和WiFi的弱密码；勒索回滚极少触发，一般都是ATD响应了，回滚没有响应，把ATD过掉了勒索回滚才会响应。最精华的ATD主防是有的。

我个人认为最值得一提的，免费版砍的一大刀还是反病毒组件不支持脚本扫描，对bat，power shell或者其他的无文件攻击比较弱，钓鱼pdf，快捷方式，ps1，bat，cmd文件防御力远不如付费版的
不过这个选项在付费版的默认设置中是不开的。

显示全部楼层 · 发表于 2022-6-10 13:38:55

LeeHS 发表于 2022-6-10 13:32
但有办法阻止加密吗？crowdstrike也能双击杀，但文件已经被加密了

和卡巴一样，解压杀，是通用检测，不是双击拦截

显示全部楼层 · 发表于 2022-6-10 13:52:42

huangzihang 发表于 2022-6-10 13:06
这个报法怎么感觉还是像MD5拉黑

就是md5拉黑

显示全部楼层 · 发表于 2022-6-10 13:54:23

LSPD 发表于 2022-6-10 13:52
就是md5拉黑

美系，红伞系持续摆

显示全部楼层 · 发表于 2022-6-10 14:06:41

可算考虑加通杀了

显示全部楼层 · 发表于 2022-6-10 14:41:53

本帖最后由 anthonyqian 于 2022-6-10 14:44 编辑

Gen:Variant 确实是机器学习通用检测，后门跟的可以是希腊神话人物的名字，也可以是具体的威胁类型名。

不过这个特征强度值得观察。。。

显示全部楼层 · 发表于 2022-6-10 14:43:41

kuroandsan 发表于 2022-6-10 13:54
美系，红伞系持续摆

红伞曾经AGEN杀了一小部分，后来就摆烂了。

McAfee曾经Generic通杀了一小部分，后来也摆烂了。

诺顿/Symantec印象里一直没有Heur Adv杀。

微软不说了，也是没有通杀的

显示全部楼层 · 发表于 2022-6-10 14:57:39

anthonyqian 发表于 2022-6-10 14:43
红伞曾经AGEN杀了一小部分，后来就摆烂了。

McAfee曾经Generic通杀了一小部分，后来也摆烂了。

Magniber应该在亚洲比较流行，这些欧美厂就使劲摆了。
看来这些厂在亚洲的利益已经小到不愿意加广谱特征的地步了

[分享] 分享一封BD针对magniber的邮件回复

评分

评分