楼主: 神龟Turmi
收起左侧

[技术原创] 【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢? 第四期

  [复制链接]
小小龙
发表于 2023-6-13 07:48:34 | 显示全部楼层
846472713 发表于 2023-6-11 13:50
腾讯金山瑞星诺顿太惨了

不知道腾讯用的是15还是16版本,16应该强些吧
1638994944
发表于 2023-6-13 08:49:33 | 显示全部楼层
腾讯差的码子劲大!
神龟Turmi
 楼主| 发表于 2023-6-13 09:20:49 | 显示全部楼层
小小龙 发表于 2023-6-13 07:48
不知道腾讯用的是15还是16版本,16应该强些吧

16
神龟Turmi
 楼主| 发表于 2023-6-13 13:56:05 | 显示全部楼层
本帖最后由 神龟Turmi 于 2023-6-15 09:39 编辑

一些补充说明:

1.因为我一开始没打算测试EMSI
所以先测了BD和GDATA过了1天才测EMSI
测试过程中发现原本BD特征miss的4号样本已经被特征通杀(重新编译依然被杀)
如果将EMSI列入测试会对GDATA不公平
故本次测试没有EMSI,也不会再测试其他BD系,望周知

2.Norton初始测试使用了无法更新到最新版本的60天OEM版本,感谢两位饭友的反馈,已经重测
重测使用了全部重新生成或编译的payload(样本尾缀-D)
原始结果为3/10 重测结果为8/10
截图已经重新上传

3.360由@Yuki丶 重新测试开启核晶的效果
重测使用了第三天测试时重新生成或编译的payload(样本尾缀-C)
原始结果为6/10 重测结果为6/10
由于结果相同,不重新上传截图

4.考虑到测试C&C服务器运营商(akamai connected cloud)对我的要求(尽可能少的受到投诉)
以及考虑到本次测试部分样本的打包工具为Inceptor的商业订阅版本而非开源版本
我决定在测试结束后不公开发布测试用样本
如果你是安全软件厂商人员并且想获得样本用于测试复盘,在保证不向akamai connected cloud投诉的前提下
可以给我发送卡饭或malwaretips站内信,我将提供对应的样本以及完整的生成过程(不包括Inceptor商业订阅版本工具)

5.如果微软的法务团队看到了这个帖子(没错 我在DMCA withdrawal notice require中附上了url,你们应该看到这个帖子)
我想你们解释一下你们DMCA notice中提到的
Microsoft and Fortra have conducted a detailed investigation and detected a pattern of IP addresses hosted by your company acting as command and control infrastructure for the malicious, trademark and copyright infringing use of illegal versions of software known as “Cobalt Strike.” During the Attacks illegal activity is conducted through these IP addresses by delivering malicious commands to and receiving stolen information from victim computers running Microsoft’s Windows operating system. The malicious and unlawful versions of Cobalt Strike controlled through these IP addresses are used to target victims with ransomware (i.e., Conti and Lockbit) resulting in extortion of funds and theft of sensitive information, intrusion into victims’ computers and networks, surveillance of the victims, and obfuscation of the cybercriminals’ activity. In these ways, the Attacks emanating from the IP addresses hosted by your company are causing severe business disruption and injury to Microsoft, Fortra, and their respective customers, including victims in sensitive industries such as healthcare and individual consumers. The Attacks from your company’s infrastructure are ongoing. It is also foreseeable that if your customers carrying out the illegal Attacks over the identified IP addresses are permitted to continue to use your company’s infrastructure in the future, Microsoft, Fortra, and their respective customers will as a result be subject to continued serious injury.

为何对我本人以及我的测试计划恶意诋毁?
一码归一码,你说我们注入windows进程以及调用windows api有侵权嫌疑,我们已经删除了相关代码
但是你们对我们的恶意诋毁我也保留追究诽谤罪的权利
另外,你附上的证据
  1. // declaration of function pointer for advapi32.dll
  2. typedef BOOL (*AdjustTokenPrivileges)(
  3. ?????? HANDLE??????????? ????????? ?TokenHandle,
  4. ?????? BOOL????????????? ???????????? ?DisableAllPrivileges,
  5. ?????? PTOKEN_PRIVILEGES NewState,
  6. ?????? DWORD???????????? ???????? ??BufferLength,
  7. ?????? PTOKEN_PRIVILEGES PreviousState,
  8. ?????? PDWORD??????????? ??????? ??ReturnLength
  9. ?????? );
复制代码
来自你们的公开文档,并非undocument API
https://learn.microsoft.com/en-u ... justtokenprivileges
你写得我用不得?我用不得APT组织用得?你不去投诉他们投诉我?
这是公开的喊话,目的是维护我个人的正当权益,无论你们是否撤回DMCA,都不会修改,也不会删除,因为这是你们对我个人的诋毁!
如果你有证据我攻击了除我测试设备以外的任何人(特别你们还说我攻击和勒索了医疗行业),请提供证据,而不是信口雌黄!
本次测试过程中我收到了3次的abuse投诉,以及微软的DMCA投诉
如果安全软件厂商是这个态度对待非盈利性测试者,并且没有一家出面向我道歉,这将是我最后一次测试

评分

参与人数 22人气 +82 收起 理由
360rundll + 3 感谢提供分享
Microsoftheihei + 3 版区有你更精彩: )
dongwenqi + 2 版区有你更精彩: )
Inner + 1 精品文章
dg1vg4 + 3 没想到这瓜还这么大,什么掩耳盗铃大厂?

查看全部评分

AEht
发表于 2023-6-13 17:19:10 | 显示全部楼层
神龟Turmi 发表于 2023-6-12 20:23
没有这个意思
我只是客观的陈述我的想法
至于wv 因为require太多(连外国人都想我测一下)

话说国外有什么网安论坛吗?WV是什么?
AEht
发表于 2023-6-13 17:22:14 | 显示全部楼层
Yuki丶 发表于 2023-6-11 09:08
前排
古董杀软:https://docs.qq.com/sheet/DTEtySFNtS2luRUdY?tab=BB08J2

文档被删除?
startck466
发表于 2023-6-13 17:29:30 | 显示全部楼层
作为,卡巴,eset和迈克菲的用户,卡巴和eset的防护确实强,现在用新版109的迈克菲也不错,主要6.18一年无限叠加太爽了,祝愿付费杀毒(非过分高价格)可以提现价值,以及越来越好吧
nicole
发表于 2023-6-13 17:57:36 | 显示全部楼层
AEht 发表于 2023-6-13 17:19
话说国外有什么网安论坛吗?WV是什么?

我记得有个人比较多的:malwaretips
swizzer
发表于 2023-6-13 18:16:55 | 显示全部楼层
本帖最后由 swizzer 于 2023-6-13 18:18 编辑
AEht 发表于 2023-6-13 17:19
话说国外有什么网安论坛吗?WV是什么?

WV=WiseVector=智量
外网安全论坛的话,Malwaretips,Wilders Security
asbjdj
发表于 2023-6-13 21:51:08 | 显示全部楼层
趋势过了???
太阳从西边升起来了?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 19:30 , Processed in 0.101713 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表