本帖最后由 呵呵大神001 于 2023-1-9 22:51 编辑
*本文所涉及的内容没有导致任何@神龟Turmi 受伤,感谢神龟大大供我测试CorwdStrike众所周知,CrowdStrike 这家公司是EDR&NGAV安全厂商中的领导者!
而且,伟大的CS还收购了hybrid-analysis,为了能让CS用户用上云沙箱,享受高人一等(Sentinelone&Cybereason都没有沙箱)的感觉,可谓用心良苦!
平常使用hybrid-analysis的时候,我们往往会看见这些图
想必,付费的FALCON SANDBOX一定十分甚至九分的高级
在神龟大大的帮助下,我得以尝试FALCON SANDBOX
我跑了4X_病毒样本中的4个样本,遗憾的是,他只检测到了两个样本。
然而我闲的没事又把这四个样本传到了免费版 的hybrid-analysis上
结果大大出乎我的意料
免费版的Hybrid-Analysis竟然检测到了3个样本,而付费版的FALCON SANDBOX只检测到了2个
详见Hybrid-Analysis.com
比FALCON SANDBOX多了一个2.exe
可见,我在两次沙盒模拟中的配置都是win10x64 开启网络模拟和防规避
而一个检测为恶意,另一个没有,这是怎么回事呢?
为了防止这是偶然事件,以及@隔山打空气 怀疑开启网络模拟与否对样本行为有影响,我和空气重新跑了两遍FALCON SANDBOX
双双miss!
附一个微步结果样本报告-微步在线云沙箱
这使得空气酱怀疑和服务器地理位置有关
然而,二者行为流程类似,释放的文件也是,如果存在沙箱地理位置检测导致FALCON SANDBOX跑不出行为是说不通的,况且二者都是一个公司的,服务器在一块也不是不可能。
FALCONSANDBOX也是跑出了一些可疑行为,然而最终FALCON就是认为他No Specific Threat
我能怎么办呢,我也很绝望啊
我只能说
下次还买CrowdStrike,这种低免费版一等的感觉真是太好啦!
打错了一个单词,留着龟大批判我用,先不改了
| 
[复制链接]
发表于 2023-1-9 16:02:07
楼主
