瑞星为啥对Magniber连拉黑都不肯啊

MelissaBenoist

今天在逛狮子的卡卡论坛时发现有人在问Magniber勒索病毒类的问题，但瑞星那边似乎除了回复等待后续引擎升级然后连Magniber样本连拉黑都不肯，虽然拉黑某个样本意义确实不大，但好歹杀一个是一个啊，目前的状态意思是哪怕明知道这个是样本且无法扫描到就不杀了吗?

杀软病综合医院

总经理说目前这个样本还不能杀，程序员说哦

MelissaBenoist

杀软病综合医院 发表于 2022-7-5 09:14
总经理说目前这个样本还不能杀，程序员说哦

搞不懂他们的逻辑，说是等引擎升级，但什么时候升级时间未知。

XywCloud

受不了了，来回个帖。

• 目前看到的这批Magniber，执行MSI包的时候会加载里面的一个DLL，由那个DLL执行具体的恶意行为（这种操作我记得以前的Magniber也有）。那个DLL在执行时会正常释放出来，因此会触发文件监控的检测
• 那个DLL在之前是靠云来检测的，昨天开始就是靠一条本地特征通杀（上个礼拜五的时候我把这两个月采集的所有Magniber样本都给了同事，一条特征全杀干净了）
• 扫描MSI无法报毒的原因单纯是以下两点：我们并没有对MSI包本身启用云查；引擎因某些原因限制了MSI的解包能力（实际上我们支持解开的压缩包、安装包、壳【统称复合文件】之类的比你们看到的和实际测试的要多得多，而且这个能力还在不断强化），这个限制会在近期解开（近期我们还重新放开了CHM帮助文档的解包【单纯因为性能而做了限制】，稍微做了点限制但无伤大雅，可以开始爆杀某些利用样本了）。至于云查的限制那就得往后稍稍了
• 为啥不拉黑？靠现有手段强行拉黑可以，但无疑是在给将来挖坑。早期有过类似的经验教训（有些坑至今还没填完），所以现在希望不再挖坑，一概以更好的方式来解决
  

MelissaBenoist

XywCloud 发表于 2022-7-5 09:44
受不了了，来回个帖。

目前看到的这批Magniber，执行MSI包的时候会加载里面的一个DLL，由那个DLL ...

那目前瑞星这边引擎升级了吗

lvseqiji

XywCloud 发表于 2022-7-5 09:44
受不了了，来回个帖。

目前看到的这批Magniber，执行MSI包的时候会加载里面的一个DLL，由那个DLL ...

瑞星的主防有提升的希望吗？现在的内核加固十分鸡肋

XywCloud

lvseqiji 发表于 2022-7-5 09:52
瑞星的主防有提升的希望吗？现在的内核加固十分鸡肋

个人版主防的规则早就被我重写了，而且也已经上线了。只不过受限于框架，能干的事情不是特别多。
企业版往后放放，得等底层的一些问题解决完再说。

XywCloud

MelissaBenoist 发表于 2022-7-5 09:46
那目前瑞星这边引擎升级了吗

不都说了近期解开MSI解包限制么，打算连同一个新的子引擎一起上线。

lvseqiji

XywCloud 发表于 2022-7-5 09:56
个人版主防的规则早就被我重写了，而且也已经上线了。只不过受限于框架，能干的事情不是特别多。
企业版 ...

这样啊，那瑞星对于恶意脚本的云杀有改进吗，我之前听说好像脚本不云杀？

XywCloud

lvseqiji 发表于 2022-7-5 10:06
这样啊，那瑞星对于恶意脚本的云杀有改进吗，我之前听说好像脚本不云杀？

脚本现在不做云查，非PE的云查以后再放开。
脚本这块我们有一些其他的打算