高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

tdsskiller

弗利萨 发表于 2023-6-1 12:51
如果是这样的话，这是杀毒软件的一个漏洞，这企业要是中WHQL签名勒索不得损失惨重，不过企业版有E ...

企业是这样的，但是企业都不是所谓的whql攻陷，基本都是被社工和漏洞攻陷的，人家那种渗透攻击比whql这种本地化攻击猛多了
这种whql免杀的目的是持久化，而不是一次性爆破一击致命，多用于取证和特殊攻击

a27573

tdsskiller 发表于 2023-6-1 14:19
人工分析，然后发现是诡异变形壳和vm，像这种没有vm的驱动已经是极少数了，大部分情况下，有那些诡异变形 ...

不过其实我是支持驱动报壳杀的

无它，驱动加壳的大多都是和外{过}{滤}挂/反外{过}{滤}挂/RK/ARK相关的玩意，正经的设备驱动/杀毒软件驱动/网络过滤驱动/虚拟机驱动之类的，加壳的实在太少了

IamAngry

弗利萨 发表于 2023-6-1 11:17
说明杀毒软件也不怎么样啊有whql有效签名的驱动杀毒软件就不查杀了 whql签名的驱动直接不检测直接白名单 ...

whql签名默认拉白无非就是承受不起拉黑出错而已。WHQL签名的驱动杀错了你系统可以就崩了，就这样。
而且人工稍微分析也分析不出啥，不然你以为微软给那么多rookit加WHQL签名是为啥

弗利萨

tdsskiller 发表于 2023-6-1 14:25
企业是这样的，但是企业都不是所谓的whql攻陷，基本都是被社工和漏洞攻陷的，人家那种渗透攻击比whql这种 ...

所以企业版杀毒软件有EDR是不是比个人版牛逼百分之30-60

喀反

弗利萨 发表于 2023-6-1 12:51
如果是这样的话，这是杀毒软件的一个漏洞，这企业要是中WHQL签名勒索不得损失惨重，不过企业版有E ...

没有绝对的安全，如果杀软不信任WHQL大概率会导致系统崩，这带来的损失不比这个rootkit小，就像楼上大佬说的，就算人工分析了也很可能分析不出啥，道高一尺魔高一丈，不可能达到100%安全的

弗利萨

喀反 发表于 2023-6-1 14:54
没有绝对的安全，如果杀软不信任WHQL大概率会导致系统崩，这带来的损失不比这个rootkit小，就像楼上大佬 ...

你看你拿绝对安全跟没有百分之百这种根本不存在的东西来说，这个是个人都知道，百分之百这种东西全宇宙都没有任何一个物质是百分之百的，虽然没有百分之百但是百分之99还是有的，就像别人一天只上5个小时一个星期只上5天回报还很高那么来对比一下这种差距

tdsskiller

a27573 发表于 2023-6-1 14:26
不过其实我是支持驱动报壳杀的

无它，驱动加壳的大多都是和外{过}{滤}挂/反外{过}{滤}挂/RK/ARK相关的 ...

emmm，如果是那种诡异私壳呢？或者是llvm？btw，因为正经的驱动加壳和混淆不够，分分钟被安排得明明白白

a27573

tdsskiller 发表于 2023-6-1 16:45
emmm，如果是那种诡异私壳呢？或者是llvm？btw，因为正经的驱动加壳和混淆不够，分分钟被安排得明明白白
...

这些也是有特征的，而且有些是强特征（没有这些特征的话壳的强度会减弱），拉黑一个壳，作者就要去改特征，也是一种提高黑产成本的方法

然后，对于正经驱动，我觉得靠加壳来防止漏洞被发现其实只是治标不治本，而且那些常用函数混淆/虚拟化可能导致严重性能损失


将来靠fuzz来发现漏洞和AI寻找漏洞会越来越成熟，后者还刚刚起步，未来可期，前者的话加壳是没用的，只会引入壳的漏洞

提高代码水平和review/测试水平才是治本的方法
像Linux这样开源，然后由高水平开发者进行review，其安全性不比闭源软件差
而且因为不存在不公开结构之类的东西，RK反而不好藏

如果从长期角度来看，形式化验证可能是软件安全的最终解决方案，毕竟计算机起源于数学，也从未超出图灵机的模型,，计算机领域的一些终极问题也是数学问题，这些问题也会深刻影响信息安全

ANY.LNK

00006666 发表于 2023-5-30 07:32
有whql有效签名的驱动，能免杀很正常，如果没人去上报，都是这样放在VT几个月都没有杀软报毒

但之前的在上报前就会有一个或几个零星报毒，不论是因为什么原因，但就我所言，已经很少见到这种全绿的一个都不报告还这么简单的样本了……