自制勒索病毒(VT 8/70)

swizzer

神龟Turmi 发表于 2023-7-18 19:26
我修改hash之后断网测试了之前的第四期样本
然后出现了个类似的报法 然而我甚至都没有连过网。。。（ ...

可以确定至少本帖中的是单纯的云检测。

安装后立刻断网，运行无检测：


连接网络后立刻运行，可检测，同时这种报法扫描未能触发：



而如果更新完成后检测结果则会变为我上面那层楼发的结果，后缀从hash前6位变为5位随机字母
https://bbs.kafan.cn/forum.php?m ... 98&pid=53208041

神龟Turmi

anthonyqian 发表于 2023-7-18 19:37
可能是缓存，但这绝对不是Sentry

这次我全程联网 又改了一次hash 反而复现了和最初测试时一样的情况（双击miss，按下enter执行payload后报毒）
但是出现了一个没见过的报法。。。

Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200
这是APC和Sentry生了娃？

算了 我已经被Avira搞晕了。。。
顺便 d514f5不是这个修改hash后的hash 是第一次修改之前的原始hash

企稳向好

swizzer 发表于 2023-7-18 19:42
可以确定至少本帖中的是单纯的云检测。

安装后立刻断网，运行无检测：

老红伞测试，这总没sentry了吧

神龟Turmi

企稳向好 发表于 2023-7-18 19:49
老红伞测试，这总没sentry了吧

你这是已经入库之后的了 这个入库后的5位字母后缀FS也可以检出 要在入库之前测

swizzer

企稳向好 发表于 2023-7-18 19:49
老红伞测试，这总没sentry了吧

overlay的那个有检测吗

anthonyqian

神龟Turmi 发表于 2023-7-18 19:47
这次我全程联网 又改了一次hash 反而复现了和最初测试时一样的情况（双击miss，按下enter执行payload后 ...

Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200 这个是标准的Sentry报法，和APC有云联动的

不知道你这个Avira版本能不能打开Sentry文件夹。可以看一下Sentryeye 好像叫这个名字的日志文件，记录了Sentry的各种event，包括查询APC，ML打分啥的

隔山打空气

anthonyqian 发表于 2023-7-18 19:53
Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200 这个是标准的Sentry报法，和APC有云联动的

但问题是之前那个hash改了全程断网还是六位数报法，这总不能是云缓存啊，云端都没连上而且也不可能知道这个不一样的hash（

anthonyqian

隔山打空气 发表于 2023-7-18 19:55
但问题是之前那个hash改了全程断网还是六位数报法，这总不能是云缓存啊，云端都没连上而且也不可能知道这 ...

你想说啥 没看懂。。

swizzer

隔山打空气 发表于 2023-7-18 19:55
但问题是之前那个hash改了全程断网还是六位数报法，这总不能是云缓存啊，云端都没连上而且也不可能知道这 ...

那么，为什么要盯着六位数报法不放呢（

神龟Turmi

anthonyqian 发表于 2023-7-18 19:53
Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200 这个是标准的Sentry报法，和APC有云联动的

我知道这个前缀是标准的Sentry BG后期的Sentry就这么报的

所以总结一下刚才发生的情况
原始样本：执行后 APC？
（存疑 因为我没有让GEN系拿到样本的机会 除非它在我解压到运行这段时间就能鉴定完）
第一次修改hash（断网）：执行时 TR/Kryptik.Hash
第二次修改hash（联网）：执行后 Sentry联动APC

如果第一次修改后的报法来自本地（不好复现，我没有锁库的红伞），那我不理解它为什么另外两次要执行后才杀
第一次修改后的报法不可能来自云，因为我是安装并断网后才修改的hash
总之，不折腾了，我已经被Avira搞晕了，从来没见过哪个安全软件断网能执行时杀联网反而不能的。。。

编辑：

第一次（断网）的时候Sentry的打分比第二次的还高
如果看日志的打分的话 第一次的TR/Kryptik似乎更符合Sentry。。。
我更晕了