（多图）Kaspersky&Checkpoint勒索缓解大战Magniber 能否扳回一局？

呵呵大神001

接上文：（多图）寄！Bitdefender 勒索防护大战Magniber 附EDR测评

样本来源（同上文）：#Magniber (2022-11-28)

Kaspersky版本：Kaspersky Endpoint Security Cloud Pro

只开了Behavior Detection
Protects from ransomware 这可是你卡巴说的，那我就其他全关了

EDR开了（虽然是阉割版）

测试前客户端界面

测试后

寄喽
《Protects from ransomware》
------
看看EDR日志吧（虽然是阉割版）


不错不错，能看出来是Magniber干的了，但是其他关联的细节没有，全都归为病毒本体干的（咋感觉和BD正好反了），阉割版也没有threat hunting功能
给的信息不够多，和mitre测试结果差不多
如果cloud security pro的EDR信息能再多一点就好了，毕竟这个价格和SentinelOnline，SOPHOS，Bitdefender的企业版相当了.....

Checkpoint测试

Checkpoint版本：Harmony Endpoint advanced



只开启EDR和Anti-Ransomware Mode

客户端界面

测试前

貌似被加密了，寄了.........吗？

文件恢复了，但好像没恢复注册表，也没删除加密文件和勒索信

原来是触发了勒索诱饵文件
------
关于Checkpoint EDR
由于这玩意好像是存储在端点本地（或者是没有传上来），导致我把镜像删了之后调不出来了，就没截屏上
但是没有归因到Magniber msi上，和BD类似报了文件管理器，所以我说是触发了勒索诱饵文件= =
在勒索防护这块Checkpoint的存活充分说明了准备诱饵文件的重要性
同用卡巴引擎，Checkpoint青出于蓝而胜于蓝啊
但是EDR这块真得学习一个，其他几家都做到实时云同步了......

Miostartos

checkpoint已经换掉卡巴引擎了（或者是提供了两个版本，一个版本无卡巴）
而且他也就用个卡巴的扫描+云，其他部分都是自己的

呵呵大神001

Miostartos 发表于 2022-12-2 12:17
checkpoint已经换掉卡巴引擎了（或者是提供了两个版本，一个版本无卡巴）
而且他也就用个卡巴的扫描+云， ...

checkpoint换卡巴引擎的应该是网关吧
端点安全还在

Miostartos

呵呵大神001 发表于 2022-12-2 12:21
checkpoint换卡巴引擎的应该是网关吧
端点安全还在

就是端点有个without kaspersky code 版本
https://community.checkpoint.com ... ailable/td-p/143731

呵呵大神001

Miostartos 发表于 2022-12-2 12:30
就是端点有个without kaspersky code 版本
https://community.checkpoint.com/t5/Endpoint/Harmony-Endp ...

好的好的

我是风我是风

谢谢分享

anthonyqian

对于Magniber，论坛里好像有一个人一直可以触发卡巴的主防

呵呵大神001

anthonyqian 发表于 2022-12-2 15:23
对于Magniber，论坛里好像有一个人一直可以触发卡巴的主防

这里的SW好像被关闭了，只有勒索防护在

野小子SAS

norton360能不能防住

Eunismal

可以试试不关AMSI，好像AMSI能让杀软扫描PowerShell脚本、msi和其他微软产品的文件

呵呵大神001

Eunismal 发表于 2022-12-2 15:52
可以试试不关AMSI，好像AMSI能让杀软扫描PowerShell脚本、msi和其他微软产品的文件

这里模拟的是只有勒索防护，扫描被过的情况

神龟Turmi

呵呵大神001 发表于 2022-12-2 12:47
好的好的

他们个人版已经加Sophos本地引擎了
之前问他们销售 说端点版换Sophos引擎只是时间问题（相对个人版测试周期更长）

Jirehlov1234

呵呵大神001 发表于 2022-12-2 07:39
这里的SW好像被关闭了，只有勒索防护在

卡巴没有独立的勒索防御模块，Behavior Detection和Exploit Prevention和Remediation Engine合起来是个人版的SW

呵呵大神001

神龟Turmi 发表于 2022-12-2 16:43
他们个人版已经加Sophos本地引擎了
之前问他们销售 说端点版换Sophos引擎只是时间问题（相对个人版测试 ...

可是sophos不是也oem红伞吗
嵌套是吧......

761773275

呵呵大神001 发表于 2022-12-2 17:24
可是sophos不是也oem红伞吗
嵌套是吧......

他們合作關係，樣本共享之類的

yiohar

Checkpoint能分享一个吗？测试玩玩

呵呵大神001

yiohar 发表于 2022-12-2 17:50
Checkpoint能分享一个吗？测试玩玩

去官网申请试用就行
我这边是招代{过}{滤}理要的所以不太方便

隔山打空气

呵呵大神001 发表于 2022-12-2 21:41
去官网申请试用就行
我这边是招代{过}{滤}理要的所以不太方便

官网申请的强制要求企业域名账号，没法过

请问代{过}{滤}理那边能单卖吗，多少钱

jackzkm

卡巴这么拉吗，付费杀软除了防勒索也没有其他付费点了吧

神龟Turmi

呵呵大神001 发表于 2022-12-2 17:24
可是sophos不是也oem红伞吗
嵌套是吧......

sophos不是oem红伞 反而是oem了bd（云端）
他俩之间应该是有些合作关系 但不是简单的oem
sophos自家现在主要靠机学 它本地引擎亮眼的表现几乎没有 但是很奇怪的是checkpoint似乎只oem了sophos的本地引擎 没有oem机学 也没有sophos云端的bd