本帖最后由 anthonyqian 于 2023-8-14 13:30 编辑
一直以来,红伞APC只支持PE类样本的分析检测,导致红伞在脚本类威胁的检测上力不从心。
但昨天在测试https://bbs.kafan.cn/thread-2259323-1-1.html的时候,发现了一个新的检测名“HEUR/APC.YAV”,从名称结构来看,这是肯定一个来自APC的云端检测,而YAV这个后缀大概率是说明这是一个脚本类威胁(YAV大概率是红伞对脚本类威胁的命名分类)。
我稍微改动了一下原始样本,把变量名称改了一下,重新执行了一次,结果仍旧能被检测到。
以下是Avira的检测日志:
[2023-08-13 08:46:21.816] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\Desktop\1.js' was unknown in the Protection Cloud. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b32bbbf92353618*****' Flags: '{Upload needed}' Status: successful —— 未知脚本会主动上传APC进行分析 [2023-08-13 08:46:21.817] [info] [Core] [thread id: 8876] [ProtectionCloud] [apcsdk] file: 1 of 1 unique hashes left to check
[2023-08-13 08:46:22.037] [info] [Core] [thread id: 5952] [ProtectionCloud] Starting upload of file 'C:\Users\\Desktop\1.js'
[2023-08-13 08:46:22.971] [info] [Core] [thread id: 5952] [ProtectionCloud] Upload of file 'C:\Users\\Desktop\1.js' was successful
[2023-08-13 08:46:27.990] [info] [Core] [thread id: 8876] [ProtectionCloud] [apcsdk] file: 1 of 1 unique hashes left to check
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\\Desktop\1.js' has been uploaded to the Protection Cloud and analyzed. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b****' Flags: '{Detected}{Upload done}' Status: successful —— APC花了约7秒时间分析脚本,结果是“检测到”。
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\\Desktop\1.js' was scanned with the Protection Cloud. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b32bbbf9235*****' Flags: '{Detected}{Upload done}' Status: successful
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] Detection by Protection Cloud: '{HEUR/APC.YAV} File: '\\?\C:\Users\\Desktop\1.js' SHA256:'4d6b54a14476efc43b3c1a54f9eab50717*****' ——同时给出检测名
可以看到:- 手动右键扫描可疑脚本不会触发,甚至都不会进行APC查询。
- 目前红伞不单单会与APC进行哈希查询,遇到云端未知的情形,还会主动上传原始文件到云端进行分析。
- 分析时间极短,只花费7-8秒,应该不涉及动态分析。
- 和PE文件不同,脚本类样本红伞会先放行,同步进行上传分析操作。如果分析结果是恶意的,后续会删除原文件并执行一次较高敏感度的快速扫描(所谓generic remediation),事后补救。
- Sentry日志里面暂时没看到相关记录。
目前尚不清楚APC对脚本类的检测能力如何,支持的脚本类型有哪些(目前看下来对于bat、ps1似乎不支持?)还需要更多的样本进行测试验证,而且目前没有与Sentry联动,有点遗憾。但是APC扩展到脚本类威胁,也算是体现了红伞对fileless attack的重视了。
————————
不严谨测试部分,从MB上随便找了今天和昨天的5个脚本病毒,其中2个vbs,3个js,扫描Avira均未能检出。
测试样本1:
VT:18/58(https://www.virustotal.com/gui/f ... 3b001b5d82d9fa0a529)
类型:JS脚本 下载器
运行结果:成功拦截,未触发上传,APC 检测为 TR/Dldr.Script.daa1c4。
追加测试:简单修改样本,运行,触发上传APC,但是未检出。运行一会网络防护拦截恶意网站。
测试样本2:
VT:24/59(https://www.virustotal.com/gui/f ... b96fb276afb49014e25)
类型:JS脚本 下载器
运行结果:成功拦截,本地引擎检测为HTML/ExpKit.Gen2。未触发APC检测。
测试样本3:
VT:5/59(https://www.virustotal.com/gui/f ... 89d76d28db668a4a9b7)
类型:JS脚本 下载器
运行结果:成功拦截,未触发上传,APC检测为JS/YAV.Minerva.7cd592。
追加测试:简单修改样本,运行,触发上传APC,检测为JS/YAV.Minerva.07d701。
测试样本4(同https://bbs.kafan.cn/thread-2259347-1-1.html):
VT:1/59(https://www.virustotal.com/gui/f ... 88d68a5c4836cd145be)
类型:VBS脚本 下载器
运行结果:APC扫描missed,无任何拦截弹窗。根据VT,C2([color=var(--vt-body-text-color, #4d4d4d)]d9e1c3dd-1fee-48c1-9089-09a70580408e .usrfiles .com)红伞能够拦截,因此可能未运行成功。
测试样本5:
VT:9/59(https://www.virustotal.com/gui/f ... cc3fa4dfcadd02889e5)
类型:VBS脚本 Houdini 木马
运行结果:运行报错,自退。触发APC,但没检出。
追加测试:简单修改样本,运行,触发上传APC,7秒后检测为HTML/Agent.e8dc9c。(这个略显离谱。。。。
————————
总的来说,APC支持脚本后真的可以明显提升红伞对脚本威胁的检测率,但是仍有许多优化空间,比如欠缺与Sentry的联动。
| 
发表于 2023-8-13 10:18:17
楼主