解锁火绒主防恶意行为监控新报法

wwwab

https://bbs.kafan.cn/forum.php?m ... 237328&pid=51167356
主防恶意行为监控

ADV:Trojan/GenInjector.A!1.0

00006666

一直都有这些报法，只是很难触发而已。

https://bbs.kafan.cn/thread-2220143-1-1.html

lvseqiji

火绒的ADV多步行为主防，效果非常差，大部分情况必miss，确实很稀有

00006666

lvseqiji 发表于 2022-6-16 12:57
火绒的ADV多步行为主防，效果非常差，大部分情况必miss，确实很稀有

就是拦截的注入，Injector是注入的意思。

wwwab

看起来，今天的那批后门样本质量都算不错啊

swizzer

这报法很早就有样本触发过，只是触发概率很低而已···

而且换句话说，能触发火绒主防恰恰说明样本质量不到位。。

wwwab

swizzer 发表于 2022-6-16 13:21
这报法很早就有样本触发过，只是触发概率很低而已···

而且换句话说，能触发火绒主防恰恰说明样本质量 ...

我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入而且火绒主防竟然有报法报注入

00006666

wwwab 发表于 2022-6-16 13:26
我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入而且火绒主防竟然有报 ...

讲真CS做静态免杀很容易的其实，举个例子，自己写一个加载器来加载它生成的shellcode，外层想办法混淆一下(比如说可以自制壳)，静态免杀就做的差不多了。

wwwab

00006666 发表于 2022-6-16 13:36
讲真CS做静态免杀很容易的其实，举个例子，自己写一个加载器来加载它生成的shellcode，外层想办法混淆一 ...

TrID        Windows Control Panel Item (generic) (90.1%)
TrID        Win64 Executable (generic) (4.8%)
TrID        Win16 NE executable (generic) (2.3%)
TrID        OS/2 Executable (generic) (0.9%)
TrID        Generic Win/DOS Executable (0.9%)

貌似没壳？

Copyright        TODO: (C) <公司名>。保留所有权利。
Product        TODO: <产品名>
而且这个一看就是国人写的

swizzer

wwwab 发表于 2022-6-16 13:26
我就好奇cs咋做到这么免杀的，vt就一家报，1%，也就在出了行为之前搞了个注入而且火绒主防竟然有报 ...

静态免杀不是什么神秘学···一个简单的分离免杀就能干掉不少静态特征了，更不用说CS这种ShellCode加载可以自己写、遍地是二开的东西，花样只多不少

火绒多步主防拦截注入应该是在以前的一位叫"学雷锋做人"的用户反馈后加入的。

事实上注入之后出行为是很多恶意软件的共同特征