疑似免杀后门 1X

显示全部楼层 · 发表于 2022-6-16 14:35:57

本帖最后由 swizzer 于 2022-6-16 20:22 编辑

edited

显示全部楼层 · 发表于 2022-6-16 14:36:01

wwwab 发表于 2022-6-16 14:32
我记得智量之前cs还是shellcode优化过一次主防模型？怎么又给过掉了

说出来你可能不信，毛豆恶意了

显示全部楼层 · 发表于 2022-6-16 14:38:11

swizzer 发表于 2022-6-16 14:35
但是另一方面，智量官方也说过，他们不拦截CS Beacon阶段的行为

所以前几天我碰上的一个就 ...

我这里跑了大概十分钟突然拦截了

吓我一跳

显示全部楼层 · 发表于 2022-6-16 14:41:02

红豆有绿豆发表于 2022-6-16 14:38
我这里跑了大概十分钟突然拦截了
吓我一跳

这货在我这里运行不稳定，运行了五六次，HMPA也只是拦截了一次···

而且每一次运行都没有观察到注入行为

显示全部楼层 · 发表于 2022-6-16 14:42:24

swizzer 发表于 2022-6-16 14:41
这货在我这里运行不稳定，运行了五六次，HMPA也只是拦截了一次···

而且每一次运行都没有观察 ...

因为我是实体机

全屏滑稽

显示全部楼层 · 发表于 2022-6-16 14:43:30

UDS:Trojan.Win64.Shelma.xav
VHO:Trojan.Win64.Shelma.xav
UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2022-6-16 14:52:42

本帖最后由 swizzer 于 2022-6-16 14:55 编辑

争论可以中止了。。
实体机双击可杀。不管是原样本还是加upx后过掉扫描的样本都可杀。。

主防特征日期停留在6月11日，并未更新

显示全部楼层 · 发表于 2022-6-16 14:54:51

swizzer 发表于 2022-6-16 14:52
争论可以中止了。。
实体机双击可杀。不管是原样本还是加upx后过掉扫描的样本都可杀。。

哦豁，有虚拟机检测？

显示全部楼层 · 发表于 2022-6-16 14:55:21

腾管 miss

显示全部楼层 · 发表于 2022-6-16 14:58:37

wwwab 发表于 2022-6-16 14:54
哦豁，有虚拟机检测？

至少在虚拟机里HMPA也不能稳定拦截（确切地说，除了我截图的那一次，其他几次虚拟机双击HMPA也是全部miss）

API Monitor也没监视到任何注入行为。。麻了

[病毒样本] 疑似免杀后门 1X