自制勒索病毒(VT 8/70)

anthonyqian

神龟Turmi 发表于 2023-7-18 18:52
这个确定吗？如果是这样 FS是没有这种报法的
但是FS有其他的APC报法（例如HEUR/APC）

是的，形如TR/AD.家族名.哈希前几位 就是APC自动机的报法，后续入库会变成TR/AD.家族名.5位随机小写字母，而且可以抵抗简单overlay改hash的手段。AD我猜应该是automatic detection之类的意思。APC（云端）的报法除了常见的HEUR/APC(.Griffin)以外，还有检测名末带哈希的。

F-S我在用的时候也有遇到TR/AD.家族名.哈希前几位的报法，但是毕竟是OEM的，优先级、上传阈值等方面都不如Avira自家的。

神龟Turmi

anthonyqian 发表于 2023-7-18 19:04
是的，形如TR/AD.家族名.哈希前几位 就是APC自动机的报法，后续入库会变成TR/AD.家族名.5位随机小写字母 ...

但是现在很奇怪的是 最简单的hash修改方法就过掉了这个报法
还有一点是 我当时测试的样本的启动器是需要按下Enter才会执行的 在按下Enter之后才触发了TR/AD.MeterpreterSC.xxxxxx
另外，如果这是APC报法，那说明从我解压缩到开始测试的这不到1分钟内完成了上传并且得到了结果？

anthonyqian

神龟Turmi 发表于 2023-7-18 19:09
但是现在很奇怪的是 最简单的hash修改方法就过掉了这个报法
还有一点是 我当时测试的样本的启动器是需要 ...

老版红伞改hash再次扫描会再次上传云端，并获得一个新的TR/AD.家族名.新的hash前5位。

新版的红伞也可以尝试一下，不要用F-S去试就是了。

Sentry本身就和APC有联动的关系，但是体现在报法上，开头一般有Drop，不会是这样的单纯的云端检测报法

swizzer

神龟Turmi 发表于 2023-7-18 18:36
简单修改hash后FS/WS不再报毒，不是特征杀
按照之前的经验，报毒名最后为数字+字母混合6位报法为Sentr ...

单纯在文件末尾填0没有绕过，但是overlay一个白文件就绕过了静态+Sentry. (甚至没轮到加壳的样本出场就被打穿了)

所以这种报法，要么就是结合了静态打分的Sentry行为检测，要么就是没有行为分析参与的、单纯的静态检测。
而且我印象里旧版本Avira的云检测后缀也是数字字母混合的，对于相应的样本，表现为VT上no cloud的引擎不报，扫描也不报，但是双击触发。

企稳向好

神龟Turmi 发表于 2023-7-18 18:57
我不这么认为的原因是：
1.Bullguard时期Sentry在日志中就有6位字母+数字混合的特点（但是前缀完全不同  ...

不带主防的老红伞有类似的报法，双击触发，可以确定有APC参与（断网不报）。不过新版本我没怎么玩过，不确定是否sentry有和APC的联动机制。至于红伞那些OEM，至少fs的优先级不如红伞本体，自从fs换引擎以来，样本区出现过一些样本可以触发本体APC但fs无法检出，但是现在不太好搜索当时的帖子了。

yaokai815

金山毒霸kill

企稳向好

swizzer 发表于 2023-7-18 19:13
单纯在文件末尾填0没有绕过，但是overlay一个白文件就绕过了静态+Sentry. (甚至没轮到加壳的样本出场 ...

能发下样本吗，我去用老红伞测试一下

swizzer

企稳向好 发表于 2023-7-18 19:15
能发下样本吗，我去用老红伞测试一下

https://t.wss.ink/f/bq1f3gypzab

神龟Turmi

anthonyqian 发表于 2023-7-18 19:12
老版红伞改hash再次扫描会再次上传云端，并获得一个新的TR/AD.家族名.新的hash前5位。

新版的红伞也可 ...

我修改hash之后断网测试了之前的第四期样本
然后出现了个类似的报法 然而我甚至都没有连过网。。。（初次更新都没完成）

如你所见 右下角微软的牛皮癣都没显示出天气。。。
证明我开机后就没有连过网。。。

anthonyqian

神龟Turmi 发表于 2023-7-18 19:26
我修改hash之后断网测试了之前的第四期样本
然后出现了个类似的报法 然而我甚至都没有连过网。。。（ ...

可能是缓存，但这绝对不是Sentry