自制勒索病毒(VT 8/70)

GreatMOLA

神龟Turmi 发表于 2023-7-18 19:47
这次我全程联网 又改了一次hash 反而复现了和最初测试时一样的情况（双击miss，按下enter执行payload后 ...

MLD这个报法应该是Sentry的本地机学与APC联动。

企稳向好

swizzer 发表于 2023-7-18 19:52
overlay的那个有检测吗

扫描，双击均无检测

隔山打空气

anthonyqian 发表于 2023-7-18 19:57
你想说啥 没看懂。。

首先，改HASH这个过程发生在断网之后，也就是云既不了解这个新的文件HASH，也不可能再去上传云端请求新的信誉，所以云缓存假说不应当成立。

其次，根据日志，已经修改了HASH的那个样本报毒名是TR/Kryptik.82c545，同时触发MLD检测（日志），主防ML打分为0.9776，已经算是一个非常高的置信度了。现在，断网报毒名为TR/Kryptik.82c545。

然后是原样本。联网检测为Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200，这是一个典型的Sentry报法，触发MLD检测（日志/报毒名），主防ML打分为0.0922（......怎么这么低）

那么问题来了，0.9776＞＞0.0922，那么Drop.Win64.MLD.APC.TR/AD.MeterpreterSC.d514f5.200是Sentry报法而TR/Kryptik.82c545报法与Sentry无关，这是否是一个悖论？

anthonyqian

隔山打空气 发表于 2023-7-18 20:34
首先，改HASH这个过程发生在断网之后，也就是云既不了解这个新的文件HASH，也不可能再去上传云端请求新的 ...

因为测试不是我做的，样本我这里也没有，我说云缓存只是基于有限的信息给出的一个猜测。

你的长篇大论也看不出TR/Kryptik.82c545和Sentry的关联啊

神龟Turmi

anthonyqian 发表于 2023-7-18 21:04
因为测试不是我做的，样本我这里也没有，我说云缓存只是基于有限的信息给出的一个猜测。

你的长篇大论 ...

其实歪楼了
一开始我反驳的论点是

这不是伞把子典型的特征杀吗

无论是APC还是杂七杂八的Sentry联动
这至少都证明了不是静态特征（1天后入库的五个字母后缀的是 但很弱）
这个事情在这一步就可以结束了
这不是静态特征 也不是FS之类OEM产品有的检测 至于具体的原理和实现可能只有Avira的人能说的清楚了

anthonyqian

神龟Turmi 发表于 2023-7-18 21:24
其实歪楼了
一开始我反驳的论点是

大概看了一下这个帖子 好像没人说是静态特征吧

神龟Turmi

anthonyqian 发表于 2023-7-18 21:41
大概看了一下这个帖子 好像没人说是静态特征吧

20L

而且当时FS和Avira本地引擎都没杀，如果不是sentry，那也不可能是本地静态

回复20L的23L

这不是伞把子典型的特征杀吗

anthonyqian

神龟Turmi 发表于 2023-7-18 21:45
20L

回复20L的23L

23L说是云特征啊

swizzer

神龟Turmi 发表于 2023-7-18 21:24
其实歪楼了
一开始我反驳的论点是

我的，表述不严谨了。我想说的意思是"这是云端参与的静态检测"，偷懒说了个云特征，再偷懒就成了特征（我不太确定APC中行为分析的权重如何，但是从分析时长和本帖测试结果来看，应该是不足以纳入考虑的）

IamAngry

伞的检测体系还真让人摸不着头脑啊