查看: 9255|回复: 37
收起左侧

[技术原创] (多图)Kaspersky&Checkpoint勒索缓解大战Magniber 能否扳回一局?

  [复制链接]
呵呵大神001
发表于 2022-12-2 12:04:13 | 显示全部楼层 |阅读模式
本帖最后由 呵呵大神001 于 2022-12-2 12:06 编辑

接上文:(多图)寄!Bitdefender 勒索防护大战Magniber 附EDR测评

样本来源(同上文):#Magniber (2022-11-28)

Kaspersky版本:Kaspersky Endpoint Security Cloud Pro

只开了Behavior Detection
Protects from ransomware 这可是你卡巴说的,那我就其他全关了

EDR开了(虽然是阉割版)

测试前客户端界面

测试后

寄喽
《Protects from ransomware》
------
看看EDR日志吧(虽然是阉割版)


不错不错,能看出来是Magniber干的了,但是其他关联的细节没有,全都归为病毒本体干的(咋感觉和BD正好反了),阉割版也没有threat hunting功能
给的信息不够多,和mitre测试结果差不多
如果cloud security pro的EDR信息能再多一点就好了,毕竟这个价格和SentinelOnline,SOPHOS,Bitdefender的企业版相当了.....

Checkpoint测试

Checkpoint版本:Harmony Endpoint advanced



只开启EDR和Anti-Ransomware Mode

客户端界面

测试前

貌似被加密了,寄了.........吗?

文件恢复了,但好像没恢复注册表,也没删除加密文件和勒索信

原来是触发了勒索诱饵文件
------
关于Checkpoint EDR
由于这玩意好像是存储在端点本地(或者是没有传上来),导致我把镜像删了之后调不出来了,就没截屏上
但是没有归因到Magniber msi上,和BD类似报了文件管理器,所以我说是触发了勒索诱饵文件= =
在勒索防护这块Checkpoint的存活充分说明了准备诱饵文件的重要性
同用卡巴引擎,Checkpoint青出于蓝而胜于蓝啊
但是EDR这块真得学习一个,其他几家都做到实时云同步了......

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6经验 +40 分享 +3 人气 +15 收起 理由
dongwenqi + 3 版区有你更精彩: )
屁颠屁颠 + 40 + 3 + 3 版区有你更精彩: )
huawei_518 + 3 加分鼓励
megakotaro + 1 卡巴翻車啦
隔山打空气 + 2 没分力,稍后补

查看全部评分

Miostartos
发表于 2022-12-2 12:17:58 | 显示全部楼层
checkpoint已经换掉卡巴引擎了(或者是提供了两个版本,一个版本无卡巴)
而且他也就用个卡巴的扫描+云,其他部分都是自己的
呵呵大神001
 楼主| 发表于 2022-12-2 12:21:14 | 显示全部楼层
Miostartos 发表于 2022-12-2 12:17
checkpoint已经换掉卡巴引擎了(或者是提供了两个版本,一个版本无卡巴)
而且他也就用个卡巴的扫描+云, ...

checkpoint换卡巴引擎的应该是网关吧
端点安全还在
Miostartos
发表于 2022-12-2 12:30:26 | 显示全部楼层
呵呵大神001 发表于 2022-12-2 12:21
checkpoint换卡巴引擎的应该是网关吧
端点安全还在

就是端点有个without kaspersky code 版本
https://community.checkpoint.com ... ailable/td-p/143731
呵呵大神001
 楼主| 发表于 2022-12-2 12:47:57 | 显示全部楼层
Miostartos 发表于 2022-12-2 12:30
就是端点有个without kaspersky code 版本
https://community.checkpoint.com/t5/Endpoint/Harmony-Endp ...

好的好的
我是风我是风
发表于 2022-12-2 13:16:13 | 显示全部楼层
谢谢分享
anthonyqian
发表于 2022-12-2 15:23:58 | 显示全部楼层
对于Magniber,论坛里好像有一个人一直可以触发卡巴的主防
呵呵大神001
 楼主| 发表于 2022-12-2 15:39:29 | 显示全部楼层
anthonyqian 发表于 2022-12-2 15:23
对于Magniber,论坛里好像有一个人一直可以触发卡巴的主防

这里的SW好像被关闭了,只有勒索防护在
野小子SAS
头像被屏蔽
发表于 2022-12-2 15:45:00 | 显示全部楼层
norton360能不能防住
Eunismal
发表于 2022-12-2 15:52:20 | 显示全部楼层
可以试试不关AMSI,好像AMSI能让杀软扫描PowerShell脚本、msi和其他微软产品的文件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:35 , Processed in 0.138034 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表