查看: 22047|回复: 12
收起左侧

[分享] 红伞 APC 支持脚本类威胁分析检测了

[复制链接]
anthonyqian
发表于 2023-8-13 10:18:17 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2023-8-14 13:30 编辑

一直以来,红伞APC只支持PE类样本的分析检测,导致红伞在脚本类威胁的检测上力不从心。
但昨天在测试https://bbs.kafan.cn/thread-2259323-1-1.html的时候,发现了一个新的检测名“HEUR/APC.YAV”,从名称结构来看,这是肯定一个来自APC的云端检测,而YAV这个后缀大概率是说明这是一个脚本类威胁(YAV大概率是红伞对脚本类威胁的命名分类)。

我稍微改动了一下原始样本,把变量名称改了一下,重新执行了一次,结果仍旧能被检测到。

以下是Avira的检测日志:

[2023-08-13 08:46:21.816] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\Desktop\1.js' was unknown in the Protection Cloud. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b32bbbf92353618*****' Flags: '{Upload needed}' Status: successful —— 未知脚本会主动上传APC进行分析
[2023-08-13 08:46:21.817] [info] [Core] [thread id: 8876] [ProtectionCloud] [apcsdk] file: 1 of 1 unique hashes left to check
[2023-08-13 08:46:22.037] [info] [Core] [thread id: 5952] [ProtectionCloud] Starting upload of file 'C:\Users\\Desktop\1.js'
[2023-08-13 08:46:22.971] [info] [Core] [thread id: 5952] [ProtectionCloud] Upload of file 'C:\Users\\Desktop\1.js' was successful
[2023-08-13 08:46:27.990] [info] [Core] [thread id: 8876] [ProtectionCloud] [apcsdk] file: 1 of 1 unique hashes left to check
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\\Desktop\1.js' has been uploaded to the Protection Cloud and analyzed. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b****' Flags: '{Detected}{Upload done}' Status: successful —— APC花了约7秒时间分析脚本,结果是“检测到”。
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] The file '\\?\C:\Users\\Desktop\1.js' was scanned with the Protection Cloud. SHA256: '4d6b54a14476efc43b3c1a54f9eab507172827b32bbbf9235*****' Flags: '{Detected}{Upload done}' Status: successful
[2023-08-13 08:46:28.205] [info] [BaseScan] [thread id: 8876] Detection by Protection Cloud: '{HEUR/APC.YAV} File: '\\?\C:\Users\\Desktop\1.js' SHA256:'4d6b54a14476efc43b3c1a54f9eab50717*****' ——同时给出检测名


可以看到:
  • 手动右键扫描可疑脚本不会触发,甚至都不会进行APC查询。
  • 目前红伞不单单会与APC进行哈希查询,遇到云端未知的情形,还会主动上传原始文件到云端进行分析。
  • 分析时间极短,只花费7-8秒,应该不涉及动态分析。
  • 和PE文件不同,脚本类样本红伞会先放行,同步进行上传分析操作。如果分析结果是恶意的,后续会删除原文件并执行一次较高敏感度的快速扫描(所谓generic remediation),事后补救
  • Sentry日志里面暂时没看到相关记录。


目前尚不清楚APC对脚本类的检测能力如何,支持的脚本类型有哪些(目前看下来对于bat、ps1似乎不支持?)还需要更多的样本进行测试验证,而且目前没有与Sentry联动,有点遗憾。但是APC扩展到脚本类威胁,也算是体现了红伞对fileless attack的重视了。
————————

不严谨测试部分,从MB上随便找了今天和昨天的5个脚本病毒,其中2个vbs,3个js,扫描Avira均未能检出。

测试样本1:

VT:18/58(https://www.virustotal.com/gui/f ... 3b001b5d82d9fa0a529

类型:JS脚本 下载器

运行结果:成功拦截,未触发上传,APC 检测为 TR/Dldr.Script.daa1c4。

追加测试:简单修改样本,运行,触发上传APC,但是未检出。运行一会网络防护拦截恶意网站。

测试样本2:

VT:24/59(https://www.virustotal.com/gui/f ... b96fb276afb49014e25

类型:JS脚本 下载器

运行结果:成功拦截,本地引擎检测为HTML/ExpKit.Gen2。未触发APC检测。

测试样本3:

VT:5/59(https://www.virustotal.com/gui/f ... 89d76d28db668a4a9b7

类型:JS脚本 下载器

运行结果:成功拦截,未触发上传,APC检测为JS/YAV.Minerva.7cd592。

追加测试:简单修改样本,运行,触发上传APC,检测为JS/YAV.Minerva.07d701。

测试样本4(同https://bbs.kafan.cn/thread-2259347-1-1.html):

VT:1/59(https://www.virustotal.com/gui/f ... 88d68a5c4836cd145be

类型:VBS脚本 下载器

运行结果:APC扫描missed,无任何拦截弹窗。根据VT,C2([color=var(--vt-body-text-color, #4d4d4d)]d9e1c3dd-1fee-48c1-9089-09a70580408e   .usrfiles   .com)红伞能够拦截,因此可能未运行成功。

测试样本5:

VT:9/59(https://www.virustotal.com/gui/f ... cc3fa4dfcadd02889e5

类型:VBS脚本 Houdini 木马


运行结果:运行报错,自退。触发APC,但没检出。

追加测试:简单修改样本,运行,触发上传APC,7秒后检测为HTML/Agent.e8dc9c。(这个略显离谱。。。。

————————

总的来说,APC支持脚本后真的可以明显提升红伞对脚本威胁的检测率,但是仍有许多优化空间,比如欠缺与Sentry的联动。

评分

参与人数 3人气 +9 收起 理由
诸葛亮 + 3 版区有你更精彩: )
Jerry.Lin + 3 版区有你更精彩: )
隔山打空气 + 3 版区有你更精彩: )

查看全部评分

zfc234
发表于 2023-8-13 11:15:21 | 显示全部楼层
提问generic remediation是不是有点之前Luke Filewalker的意思
anthonyqian
 楼主| 发表于 2023-8-13 11:48:41 | 显示全部楼层
zfc234 发表于 2023-8-13 11:15
提问generic remediation是不是有点之前Luke Filewalker的意思

有点像,只不过现在不会无脑修复,连没运行的文件都执行修复流程。

评分

参与人数 1人气 +1 收起 理由
zfc234 + 1 感谢解答: )

查看全部评分

ytysh
发表于 2023-8-13 11:57:10 | 显示全部楼层
红伞还是在向好的方向发展
安静的Snow
发表于 2023-8-13 12:06:50 来自手机 | 显示全部楼层
隔离区bug已经一年了 还没修复吧
hansyu
发表于 2023-8-13 13:55:09 | 显示全部楼层
双击触发APC还是只限定在系统分区和其他分区根目录吗?
anthonyqian
 楼主| 发表于 2023-8-13 14:47:17 | 显示全部楼层
安静的Snow 发表于 2023-8-13 12:06
隔离区bug已经一年了 还没修复吧

重复隔离的bug么?
anthonyqian
 楼主| 发表于 2023-8-13 14:47:34 | 显示全部楼层
hansyu 发表于 2023-8-13 13:55
双击触发APC还是只限定在系统分区和其他分区根目录吗?

不是
hansyu
发表于 2023-8-13 14:53:23 | 显示全部楼层

修好了吗?上个月我在实机上用的时候只有在系统分区和其他分区根目录才能触发APC检测,一进到子目录就没反应了。
安静的Snow
发表于 2023-8-13 15:21:15 来自手机 | 显示全部楼层
anthonyqian 发表于 2023-8-13 14:47
重复隔离的bug么?

是的 还出现过明明已经隔离了威胁 结果文件还在
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:49 , Processed in 0.122956 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表