解锁火绒主防恶意行为监控新报法

显示全部楼层 · 发表于 2022-6-16 12:34:54

https://bbs.kafan.cn/forum.php?m ... 237328&pid=51167356
主防恶意行为监控

ADV:Trojan/GenInjector.A!1.0

显示全部楼层 · 发表于 2022-6-16 12:50:34

一直都有这些报法，只是很难触发而已。

https://bbs.kafan.cn/thread-2220143-1-1.html

显示全部楼层 · 发表于 2022-6-16 12:57:17

火绒的ADV多步行为主防，效果非常差，大部分情况必miss，确实很稀有

显示全部楼层 · 发表于 2022-6-16 13:03:02

lvseqiji 发表于 2022-6-16 12:57
火绒的ADV多步行为主防，效果非常差，大部分情况必miss，确实很稀有

就是拦截的注入，Injector是注入的意思。

显示全部楼层 · 发表于 2022-6-16 13:06:38

看起来，今天的那批后门样本质量都算不错啊

显示全部楼层 · 发表于 2022-6-16 13:21:51

这报法很早就有样本触发过，只是触发概率很低而已···

而且换句话说，能触发火绒主防恰恰说明样本质量不到位。。

显示全部楼层 · 发表于 2022-6-16 13:26:28

swizzer 发表于 2022-6-16 13:21
这报法很早就有样本触发过，只是触发概率很低而已···

而且换句话说，能触发火绒主防恰恰说明样本质量 ...

我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入

而且火绒主防竟然有报法报注入

显示全部楼层 · 发表于 2022-6-16 13:36:01

wwwab 发表于 2022-6-16 13:26
我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入而且火绒主防竟然有报 ...

讲真CS做静态免杀很容易的其实，举个例子，自己写一个加载器来加载它生成的shellcode，外层想办法混淆一下(比如说可以自制壳)，静态免杀就做的差不多了。

显示全部楼层 · 发表于 2022-6-16 13:40:15

00006666 发表于 2022-6-16 13:36
讲真CS做静态免杀很容易的其实，举个例子，自己写一个加载器来加载它生成的shellcode，外层想办法混淆一 ...

TrID Windows Control Panel Item (generic) (90.1%)
TrID Win64 Executable (generic) (4.8%)
TrID Win16 NE executable (generic) (2.3%)
TrID OS/2 Executable (generic) (0.9%)
TrID Generic Win/DOS Executable (0.9%)

貌似没壳？

Copyright TODO: (C) <公司名>。保留所有权利。
Product TODO: <产品名>
而且这个一看就是国人写的

显示全部楼层 · 发表于 2022-6-16 13:41:10

本帖最后由 swizzer 于 2022-6-16 13:42 编辑

wwwab 发表于 2022-6-16 13:26
我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入而且火绒主防竟然有报 ...

静态免杀不是什么神秘学···一个简单的分离免杀就能干掉不少静态特征了，更不用说CS这种ShellCode加载可以自己写、遍地是二开的东西，花样只多不少

火绒多步主防拦截注入应该是在以前的一位叫"学雷锋做人"的用户反馈后加入的。

~~事实上注入之后出行为是很多恶意软件的共同特征~~

显示全部楼层 · 发表于 2022-6-16 13:41:41

wwwab 发表于 2022-6-16 13:40
TrID Windows Control Panel Item (generic) (90.1%)
TrID Win64 Executable (generic) (4.8%)
TrID Wi ...

前面说了，是举个例子，CS这种东西做静态免杀非常容易，要想运行起来不被查杀就有难度了。

显示全部楼层 · 发表于 2022-6-16 13:43:49

swizzer 发表于 2022-6-16 13:41
静态免杀不是什么神秘学···一个简单的分离免杀就能干掉不少静态特征了，更不用说CS这种ShellCode加载 ...

好好奇火绒的注入拦截规则是啥

很多注入命中的概率并不大，而且主防还是直接kill的

显示全部楼层 · 发表于 2022-6-16 14:35:43

话说，智量是不是不会拦截或者报毒注入的行为？（我咋还没有见到过）@swizzer

显示全部楼层 · 发表于 2022-6-16 14:37:20

wwwab 发表于 2022-6-16 14:35
话说，智量是不是不会拦截或者报毒注入的行为？（我咋还没有见到过）@swizzer

真没见到还是根本不认真看帖呢
Injector这个单词你应该认识的啊

https://bbs.kafan.cn/forum.php?m ... 700&fromuid=1068458

显示全部楼层 · 发表于 2022-6-16 14:38:06

swizzer 发表于 2022-6-16 14:37
真没见到还是根本不认真看帖呢
Injector这个单词你应该认识的啊

哦豁

显示全部楼层 · 发表于 2022-6-16 14:54:21

wwwab 发表于 2022-6-16 05:40
TrID Windows Control Panel Item (generic) (90.1%)
TrID Win64 Executable (generic) (4.8%)
TrID Wi ...

冷知识，有段时间emotet的metadata也是
TODO: (C) <公司名>。保留所有权利。
这种的，但显然emotet不是国人写的

显示全部楼层 · 发表于 2022-6-16 15:24:30

swizzer 发表于 2022-6-16 13:41
静态免杀不是什么神秘学···一个简单的分离免杀就能干掉不少静态特征了，更不用说CS这种ShellCode加载 ...

学雷锋大学忙了之后就不来了@学雷锋做人

显示全部楼层 · 发表于 2022-6-16 15:35:56

pal家族发表于 2022-6-16 15:24
学雷锋大学忙了之后就不来了@学雷锋做人

感觉有两三年没见到他了...
~~最后一次见到他还是看他和智量官方battle~~

显示全部楼层 · 发表于 2022-6-16 17:57:35

不是新规则，很久以前的版本就有了

显示全部楼层 · 发表于 2022-6-17 00:41:20

本帖最后由欧阳宣于 2022-6-17 10:30 编辑

又发现新大陆了？
这种“我没见到过就是不存在”的逻辑真的是很可怕也很让我惊讶。。

[讨论] 解锁火绒主防恶意行为监控新报法

本帖子中包含更多资源

评分

本帖子中包含更多资源