Exciting News: Comodo Internet Security 2024 Beta Now Open for Testing!

huanwoheshan

con16 发表于 2023-8-28 10:41
測試版沒有防勒索木馬那個辨識器也是問題

這個以前滿好用，可以彌補一點CAV不給力問題。後來毛豆團隊換 ...

原来防勒索部分很不错！

Cel3mt

huanwoheshan 发表于 2023-8-28 11:03
原来防勒索部分很不错！

毛豆对付这类勒索有天然优势

con16

自動沙盒防勒索加密利器，隔絕在沙盒容器內
當初毛豆還有配合那個辨識器，有些行為分析可以幹掉勒索。
後面發展停滯這個辨識器也沒什麼更新，之前看網友用企業版居然版本還比個人版舊。

huanwoheshan

Cel3mt 发表于 2023-8-29 13:56
毛豆对付这类勒索有天然优势

没错！

神龟Turmi

Cel3mt 发表于 2023-8-21 22:58
用了10多年毛豆的人看到这种论断真是笑话，说话得讲证据。
1、
你找几个你所谓的防不住的样本，发出来 ...

出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是几乎没有任何作用的
甚至防不住原版未经混淆的CobaltStrike Powershell Payload

Cel3mt

神龟Turmi 发表于 2023-8-30 17:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...

我记得多年前毛豆官方就说专门针对无文件攻击做过强化，等我周末试一试。

Cel3mt

神龟Turmi 发表于 2023-8-30 17:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...

我大概试了一下，因为楼主已经对样本做了无害化处理，结果不一定准。
除了有几个是txt格式的文本，不知道怎么测（好像2号样本也是txt格式的），其余的样本都被自动沙盒隔离。

1、一部分是调用dllhost.exe访问COM接口LocalSecurityAuthority.Shutdown，因为是高危动作，被沙盒自动阻止。
2、有的是样本自己联网，有的是调用notepad.exe执行联网，防火墙都弹窗。

因为是简单测试，只是看到毛豆的拦截日志，没有关注更多的执行动作。个人判断，应该还是防得住的。

神龟Turmi

Cel3mt 发表于 2023-8-31 16:49
我大概试了一下，因为楼主已经对样本做了无害化处理，结果不一定准。
除了有几个是txt格式的文本，不知 ...

刚好你“不知道怎么测”的才是无文件攻击，其他的都不是
如果是正常的攻击链，执行无文件攻击之前应该有前向的步骤，例如提前拿到内网SSH/RDP或者有前置的payload，无文件攻击一般用来横向传播
考虑到是测试，最简单的办法就是复制内容然后打开powershell粘贴进去回车执行

如果你有兴趣的话可以试一下PsEmpire，那个生成的攻击脚本都可以实现无文件
我第四期有用到 但是没有测comodo

petr0vic

神龟Turmi 发表于 2023-8-30 12:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...

Comodo（注：无脑入沙是否算有效检测请自行判断）

comodo missed or not?
all samples -> contained

petr0vic

Cel3mt 发表于 2023-8-31 05:21
我记得多年前毛豆官方就说专门针对无文件攻击做过强化，等我周末试一试。

Fileless Malware
https://asec.ahnlab.com/ko/56438/

https://bazaar.abuse.ch/sample/f766b4fc1e1d81dec8d9103cefc10be9fc9d14df021b846f27c8c5c8fefbee19/




File is not analyzed by Valkyrie
https://v.comodo.com/get_info?sh ... 917d1e98c04d872a074

firewall - custom
hips-off
auto-containment - enable







firewall- safe mode