楼主: 神龟Turmi
收起左侧

[其他相关] 这似乎是第一家用机学解决magniber的?

[复制链接]
huangzihang
发表于 2022-7-25 20:33:08 | 显示全部楼层
神龟Turmi 发表于 2022-7-25 20:27
这好办 我去找两个驱动带WHQL的外{过}{滤}挂来试一下就好了
除非你们都认为外{过}{滤}挂(带隐藏驱动, ...

这个咋说呢,风灵月影和CE都会加载驱动,这种属不属于病毒呢,是也不是
神龟Turmi
 楼主| 发表于 2022-7-25 20:41:12 | 显示全部楼层
huangzihang 发表于 2022-7-25 20:33
这个咋说呢,风灵月影和CE都会加载驱动,这种属不属于病毒呢,是也不是

这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干扰其他软件(battleye/easyanticheat...)的工作
要是能要个机器来玩就好说了,毕竟当时我的新版三板斧(7z+everything勒索/断网/中间人攻击)MD For Cloud(Azure)也是全miss 还顺带发现了AM-PPL对于ring0完全无作用(毕竟连MD都能轻而易举的被断网,而且它只会认为是单纯的网络断了,无视其他软件还能联网的结果)
huangzihang
发表于 2022-7-25 20:43:04 | 显示全部楼层
神龟Turmi 发表于 2022-7-25 20:41
这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干 ...

MD自保真的挺差劲的,我之前遇到了一个被ATD杀的样本居然成功把MD关掉了,漏沙了
隔山打空气
发表于 2022-7-25 21:39:20 | 显示全部楼层
本帖最后由 隔山打空气 于 2022-7-25 21:40 编辑
神龟Turmi 发表于 2022-7-25 20:41
这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干 ...

MITRE ATT&CK的测试虽然模拟了APT渗透攻击,但是我个人觉得有一点他们不会模拟也不能模拟(原因懂得都懂,容易得罪厂商)
他们都是尝试绕过或者说常规方法攻击安全软件,如果直接用一堆精密计算过的漏洞工具+漏洞驱动+提权刚死安全软件,三板斧砸过去估计一大片完蛋的,根本没法测试
所以真正的企业环境中经常部署诱饵,恐怕也是防不胜防的原因
神龟Turmi
 楼主| 发表于 2022-7-26 10:39:21 | 显示全部楼层
隔山打空气 发表于 2022-7-25 21:39
MITRE ATT&CK的测试虽然模拟了APT渗透攻击,但是我个人觉得有一点他们不会模拟也不能模拟(原因懂得都懂 ...

现在都不用漏洞驱动了。。。如果没有开启内核隔离,只需要找两个SHA1的签名即可(听我说谢谢你三星+Fuck U Nvidia)
就算开了内核隔离,代签WHQL也几乎成了一个产业了。。。
隔山打空气
发表于 2022-7-26 12:27:41 | 显示全部楼层
神龟Turmi 发表于 2022-7-26 10:39
现在都不用漏洞驱动了。。。如果没有开启内核隔离,只需要找两个SHA1的签名即可(听我说谢谢你三星+Fuck  ...

好的谢谢解答。

SHA1好像没法解决了。。。对于绝大多数人来说,开内核隔离根本不划算

代签WHQL那东西。。。就是一有钱能使鬼推磨的玩意儿,很恶心但也难解决
小fafan
发表于 2022-8-5 11:47:57 | 显示全部楼层
我还以为你说的质量
00006666
发表于 2022-8-5 11:55:38 | 显示全部楼层
神龟Turmi 发表于 2022-7-25 20:27
这好办 我去找两个驱动带WHQL的外{过}{滤}挂来试一下就好了
除非你们都认为外{过}{滤}挂(带隐藏驱动, ...

没带持久化还好,如果带了持久化,那就是rootkit了……
wwwab
发表于 2022-8-6 14:12:09 | 显示全部楼层
本帖最后由 wwwab 于 2022-8-6 14:16 编辑

很多厂商应该不是没有做,而是没有做出来

而且通过主防规则拦的也是少数并不多,大部分还是依靠扫描通杀疯狂创建通杀特征等拦的


不知道疯狂“针对性”拉哈希这种算不算针对性跟进查杀
呵呵大神001
发表于 2022-8-12 09:21:32 | 显示全部楼层
隔山打空气 发表于 2022-7-25 16:51
那mitre是可见性更高,更少的配置更改,更少的遥测延迟一般就更好吗

另外forrester的EDR综合评估是否 ...

mitre更有意义
个人认为

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:20 , Processed in 0.101015 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表