高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

wwwab

wowocock 发表于 2023-5-31 15:56
主要是要到微软那去签名很麻烦，我们每次申请都得等好几天。

那这种rootkit是怎么过去的。

GreatMOLA

ANY.LNK 发表于 2023-5-29 23:19
刚刚@wwwab 链接里的样本

蛐蛐：Trojan.Win32.SCRANOS.VSNW03E23

你开心就好

wwwab 发表于 2023-5-31 17:36
那这种rootkit是怎么过去的。

应该是外包公司呗  而且源码应该是二次修改的 如果第一次就暴露出来的话 微软那边应该是不给过的

tdsskiller

你开心就好 发表于 2023-5-31 18:01
应该是外包公司呗  而且源码应该是二次修改的 如果第一次就暴露出来的话 微软那边应该是不给过的

按大佬说的说法，基本都是whql代签服务搞得，至于怎么通过的就不清楚了

你开心就好

tdsskiller 发表于 2023-5-31 19:41
按大佬说的说法，基本都是whql代签服务搞得，至于怎么通过的就不清楚了

我觉得就像广告主投放广告的事情一样 有二次修改的权利 然后……

弗利萨

00006666 发表于 2023-5-30 07:32
有whql有效签名的驱动，能免杀很正常，如果没人去上报，都是这样放在VT几个月都没有杀软报毒

说明杀毒软件也不怎么样啊有whql有效签名的驱动杀毒软件就不查杀了 whql签名的驱动直接不检测直接白名单了 ，使用whql签名它就不检测了，或者说用个whql签名杀毒软件就检测不出来了，人工稍微分析一下就知道有问题了，现在杀毒软件不都是能分析出来么，一个有病毒的驱动没加whql能检测出来加了whql就白瞎了

弗利萨

wowocock 发表于 2023-5-31 15:56
主要是要到微软那去签名很麻烦，我们每次申请都得等好几天。

病毒驱动加WHQL签名就能免杀这些杀毒软件都是干什么的，有WHQL就不检测了呗，或者说有WHQL就检测不出来了吗这.......

wowocock

弗利萨 发表于 2023-6-1 11:19
病毒驱动加WHQL签名就能免杀这些杀毒软件都是干什么的，有WHQL就不检测了呗，或者说有WHQL就检测不出来了 ...

应该为了效率问题或防止误杀，而默认信任了，不过360这边已经改进了机制，会加入审核机制。

弗利萨

wowocock 发表于 2023-6-1 11:45
应该为了效率问题或防止误杀，而默认信任了，不过360这边已经改进了机制，会加入审核机制。

如果是这样的话，这是杀毒软件的一个漏洞，这企业要是中WHQL签名勒索不得损失惨重，不过企业版有EDR比个人版强百分之30-60，个人版都是静态的没啥搞头，还是企业版的强，就是价格贵，如果企业版的价格跟个人版价格一样的话，我想几乎没几个人会买个人版杀毒软件了，大家都是人都知道企业用的产品基本上都比个人版的要好。

tdsskiller

弗利萨 发表于 2023-6-1 11:17
说明杀毒软件也不怎么样啊有whql有效签名的驱动杀毒软件就不查杀了 whql签名的驱动直接不检测直接白名单 ...

人工分析，然后发现是诡异变形壳和vm，像这种没有vm的驱动已经是极少数了，大部分情况下，有那些诡异变形和vm不是你说的那么那么简单一下就发现问题的
而且像你说的发现问题，现在狠一点的都是云驱动，你怎么看都是一点问题都没有，只有真机测试下，远程下发shellcode或者是一下碎片组件才会启动真正的功能，你让谁去分析也白瞎，包括微软也不知道你想干什么