自制勒索病毒(VT 8/70)

GreatMOLA

隔山打空气 发表于 2023-7-18 18:11
sentry报法的特征不是后面六位数前面不用看吗

而且当时FS和Avira本地引擎都没杀，如果不是sentry，那 ...

不是吧，Sentry的报法不是之前斗牛犬的行为报法吗？应该是有专门的一套东西的，不过具体我也不太清楚。

隔山打空气

GreatMOLA 发表于 2023-7-18 18:12
不是吧，Sentry的报法不是之前斗牛犬的行为报法吗？应该是有专门的一套东西的，不过具体我也不太清楚。

之前龟大测试的时候是讲过相关特征的，其中一个貌似就是后面六位数

现在Avira本地引擎的后缀和那个报法也不一致，并且当时也是双击才杀的，所以如果不是sentry那也没法解释了（

swizzer

隔山打空气 发表于 2023-7-18 18:11
sentry报法的特征不是后面六位数前面不用看吗

而且当时FS和Avira本地引擎都没杀，如果不是sentry，那 ...

这不是伞把子典型的特征杀吗
退一步来说，如果是Sentry杀，应该不会在载入内存之前就杀掉的。图中弹窗明显是On-Execution阶段杀。
我是觉得更像云特征

GreatMOLA

隔山打空气 发表于 2023-7-18 18:15
之前龟大测试的时候是讲过相关特征的，其中一个貌似就是后面六位数

现在Avira本地引擎的后缀和那个报 ...

那应该是Sentry了。

是我孤陋寡闻了，我之前只碰到过原来斗牛犬上Sentry的报法。

神龟Turmi

swizzer 发表于 2023-7-18 18:17
这不是伞把子典型的特征杀吗
退一步来说，如果是Sentry杀，应该不会在载入内存之前就杀掉的。图中 ...

简单修改hash后FS/WS不再报毒，不是特征杀
按照之前的经验，报毒名最后为数字+字母混合6位报法为Sentry杀
至于为什么Sentry在文件还没有运行的时候就下手了，我就不确定了

另外可以参考之前我测试时Avira杀了FS没杀的两个样本（第四期测试02和04样本）：



都是一样的6位字母+数字混合后缀

隔山打空气

swizzer 发表于 2023-7-18 18:17
这不是伞把子典型的特征杀吗
退一步来说，如果是Sentry杀，应该不会在载入内存之前就杀掉的。图中 ...

好了，确实是sentry相关报法（

昨天的毒库的WS（FS）扫过了一遍，没有报，然后今天毒库龟大加了个0，又过了，就一拉黑（

伞的引擎我记得一般没有后缀是字母数字混合的，他们都挺喜欢纯字母往上糊

实话实说我也觉得奇怪...我觉得可能的折中解释是sentry也包含对文件特征的检查和独立置信，伞本身引擎miss了但是sentry快速分析了一下给补了一刀，类似BEST的ATC其实也是会联动静态引擎分析的

anthonyqian

隔山打空气 发表于 2023-7-18 18:11
sentry报法的特征不是后面六位数前面不用看吗

而且当时FS和Avira本地引擎都没杀，如果不是sentry，那 ...

这不是Sentry。这是来自APC的检测。

神龟Turmi

anthonyqian 发表于 2023-7-18 18:50
这不是Sentry。这是来自APC的检测。

这个确定吗？如果是这样 FS是没有这种报法的
但是FS有其他的APC报法（例如HEUR/APC 而且FS还会写成Heuristic.HEUR/APC 双重HEUR）

swizzer

隔山打空气 发表于 2023-7-18 18:42
好了，确实是sentry相关报法（

昨天的毒库的WS（FS）扫过了一遍，没有报，然后今天毒库龟大加了个0， ...

比起Sentry，我觉得更像是云端的某种检测机制
(吃完饭我整个红伞试试）

神龟Turmi

swizzer 发表于 2023-7-18 18:53
比起Sentry，我觉得更像是云端的某种检测机制

我不这么认为的原因是：
1.Bullguard时期Sentry在日志中就有6位字母+数字混合的特点（但是前缀完全不同 不会有TR/AD之类的）
2.老Avira不会这么报
3.F-Secure等其他OEM Avira的也不会这么报
4.我补充的截图 运行时并不报毒（我的样本需要手动按一下Enter才会执行Shellcode） 将Shellcode执行到内存时才触发TR/AD.MeterpreterSC.xxxxxx