（多图）Kaspersky&Checkpoint勒索缓解大战Magniber 能否扳回一局？

呵呵大神001

接上文：（多图）寄！Bitdefender 勒索防护大战Magniber 附EDR测评

样本来源（同上文）：#Magniber (2022-11-28)

Kaspersky版本：Kaspersky Endpoint Security Cloud Pro

只开了Behavior Detection
Protects from ransomware 这可是你卡巴说的，那我就其他全关了

EDR开了（虽然是阉割版）

测试前客户端界面

测试后

寄喽
《Protects from ransomware》
------
看看EDR日志吧（虽然是阉割版）


不错不错，能看出来是Magniber干的了，但是其他关联的细节没有，全都归为病毒本体干的（咋感觉和BD正好反了），阉割版也没有threat hunting功能
给的信息不够多，和mitre测试结果差不多
如果cloud security pro的EDR信息能再多一点就好了，毕竟这个价格和SentinelOnline，SOPHOS，Bitdefender的企业版相当了.....

Checkpoint测试

Checkpoint版本：Harmony Endpoint advanced



只开启EDR和Anti-Ransomware Mode

客户端界面

测试前

貌似被加密了，寄了.........吗？

文件恢复了，但好像没恢复注册表，也没删除加密文件和勒索信

原来是触发了勒索诱饵文件
------
关于Checkpoint EDR
由于这玩意好像是存储在端点本地（或者是没有传上来），导致我把镜像删了之后调不出来了，就没截屏上
但是没有归因到Magniber msi上，和BD类似报了文件管理器，所以我说是触发了勒索诱饵文件= =
在勒索防护这块Checkpoint的存活充分说明了准备诱饵文件的重要性
同用卡巴引擎，Checkpoint青出于蓝而胜于蓝啊
但是EDR这块真得学习一个，其他几家都做到实时云同步了......

Miostartos

checkpoint已经换掉卡巴引擎了（或者是提供了两个版本，一个版本无卡巴）
而且他也就用个卡巴的扫描+云，其他部分都是自己的

呵呵大神001

Miostartos 发表于 2022-12-2 12:17
checkpoint已经换掉卡巴引擎了（或者是提供了两个版本，一个版本无卡巴）
而且他也就用个卡巴的扫描+云， ...

checkpoint换卡巴引擎的应该是网关吧
端点安全还在

Miostartos

呵呵大神001 发表于 2022-12-2 12:21
checkpoint换卡巴引擎的应该是网关吧
端点安全还在

就是端点有个without kaspersky code 版本
https://community.checkpoint.com ... ailable/td-p/143731

呵呵大神001

Miostartos 发表于 2022-12-2 12:30
就是端点有个without kaspersky code 版本
https://community.checkpoint.com/t5/Endpoint/Harmony-Endp ...

好的好的

我是风我是风

谢谢分享

anthonyqian

对于Magniber，论坛里好像有一个人一直可以触发卡巴的主防

呵呵大神001

anthonyqian 发表于 2022-12-2 15:23
对于Magniber，论坛里好像有一个人一直可以触发卡巴的主防

这里的SW好像被关闭了，只有勒索防护在

野小子SAS

norton360能不能防住

Eunismal

可以试试不关AMSI，好像AMSI能让杀软扫描PowerShell脚本、msi和其他微软产品的文件