脸都不要了——Bitdefender大战Magniber终章之《还可以拯救一下吗？》

呵呵大神001

前传：（多图）寄！Bitdefender 勒索防护大战Magniber 附EDR测评

既然BD的ATC检测到了恶意行为，那么把ATC打开是否可以拯救一下？

客户端界面（控制台忘了截图了）

测试前界面

寄喽，隔山打空气大佬言之有理啊，我还是要学习一个



BD.....我还要再拯救一下

HyperDetect打开 无文件攻击防护打开 勒索缓解&免疫打开 高级漏洞防护打开 ATC设置为严格
实时防护打开但设置为不检测（不打开实时防护没法打开无文件攻击防护）





客户端界面（我还不信不能拦了）

测试后界面.....

还是被加密了.....不过注册表修改被拦截了.....但是有个**用啊

把云沙箱和进程内存扫描打开，这总能拦了吧....


客户端界面3

测试后.....

我的心里只有一句话，***！退钱！
这都没有自动入沙？这都没有拦截？
说好的多层防护呢？合着拦个Magniber全靠md5拉黑呗？
以后Magniber只要过了扫描，直接薄纱BD是吧？
希望早日改进@纽盖特
真是脸都不要了

anthonyqian

合着拦个Magniber全靠md5拉黑呗？
以后Magniber只要过了扫描，直接薄纱BD是吧？

我印象里最近样本区的几个Magniber样本，BD在第一时间都是可以用一个奇特的“霸王龙”通用检测进行扫描通杀的。样本目前已经入库了，因此GenericKD覆盖了这个霸王龙通杀。

隔山打空气

anthonyqian 发表于 2022-12-3 16:31
我印象里最近样本区的几个Magniber样本，BD在第一时间都是可以用一个奇特的“霸王龙”通用检测进行扫描 ...

是的，对于实际情况来说静态能干掉当然是最好，只要最终用户未受损失当然是好的

不过ATD/ATC这个问题实际上已经出现的很明显了，如果行为防护不修，静态免杀起来最终还是会被爆杀。其实我不确定我那句话（完全不能抵御syscall）对不对，但是BD对很多系统调用的防御确是弱项，如果被大规模利用势必会出事，而且不止它一家有这种问题，只是在magniber的面前集中爆发了而已

呵呵大神001

隔山打空气 发表于 2022-12-3 16:37
是的，对于实际情况来说静态能干掉当然是最好，只要最终用户未受损失当然是好的

不过ATD/ATC这个问题 ...

SONAR也寄了
Symantec可能也有类似的问题（？）

Vu1pec

呵呵大神001 发表于 2022-12-3 16:39
SONAR也寄了
Symantec可能也有类似的问题（？）

SONAR的弱点可能就不止这些了，，，

隔山打空气

呵呵大神001 发表于 2022-12-3 16:39
SONAR也寄了
Symantec可能也有类似的问题（？）

SONAR能拦住勒索就已经是中大奖了。。。

呵呵大神001

隔山打空气 发表于 2022-12-3 16:50
SONAR能拦住勒索就已经是中大奖了。。。

有所耳闻，没想到这么惨啊

隔山打空气

呵呵大神001 发表于 2022-12-3 16:52
有所耳闻，没想到这么惨啊

其实对勒索我个人感觉Data Protector有时能在关键地方一锤定音，SONAR的参与感相对小一些吧

另外也是论坛里面大部分静态杀的轮不到SONAR，静态杀不了的也不是很敢双击（因为SONAR的敏感度相对于一流主防来说还是差距较大的，容易漏毒，不是单对勒索）不过最近Norton的似乎强化了一些，不知道是不是错觉

其实很多时候也不能全怪BD，然而magniber的防御逃避机制实在是比较阴间，静态不容易触发沙盒也不容易查杀（文件类型相对不常用，至于MSI我搞不懂为什么很多杀毒软件双击还是漏，哪怕实时防护能杀），动态直接系统调用大杀四方（

Jerry.Lin

我猜是因为direct syscall 可以绕过usermode hook, 很多主防都是依赖这个实现对文件修改的监控，什么ATC, SW, SONAR 都是。如果不做针对性处理基本没有可能拦截，然而有些主防的机制可能修改起来比较麻烦，目前看只有magniber 用了direct syscall, 所以厂商不一定愿意做。

kuroandsan

呵呵大神001 发表于 2022-12-3 16:39
SONAR也寄了
Symantec可能也有类似的问题（？）

隔壁Norton多了一层DP都拦不住