楼主: zfc234
收起左侧

[分享] Exciting News: Comodo Internet Security 2024 Beta Now Open for Testing!

  [复制链接]
huanwoheshan
发表于 2023-8-28 11:03:46 | 显示全部楼层
con16 发表于 2023-8-28 10:41
測試版沒有防勒索木馬那個辨識器也是問題

這個以前滿好用,可以彌補一點CAV不給力問題。後來毛豆團隊換 ...

原来防勒索部分很不错!
Cel3mt
发表于 2023-8-29 13:56:44 | 显示全部楼层
huanwoheshan 发表于 2023-8-28 11:03
原来防勒索部分很不错!

毛豆对付这类勒索有天然优势
con16
发表于 2023-8-29 17:40:14 | 显示全部楼层
自動沙盒防勒索加密利器,隔絕在沙盒容器內
當初毛豆還有配合那個辨識器,有些行為分析可以幹掉勒索。
後面發展停滯這個辨識器也沒什麼更新,之前看網友用企業版居然版本還比個人版舊。

huanwoheshan
发表于 2023-8-30 14:03:37 | 显示全部楼层
Cel3mt 发表于 2023-8-29 13:56
毛豆对付这类勒索有天然优势

没错!
神龟Turmi
发表于 2023-8-30 17:37:18 | 显示全部楼层
Cel3mt 发表于 2023-8-21 22:58
用了10多年毛豆的人看到这种论断真是笑话,说话得讲证据。
1、
你找几个你所谓的防不住的样本,发出来 ...


出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是几乎没有任何作用的
甚至防不住原版未经混淆的CobaltStrike Powershell Payload


评分

参与人数 3人气 +3 收起 理由
yexo + 1 感谢提供分享
HEMM + 1 看不懂,请重测一遍
swizzer + 1 能拦截底层磁盘写操作的就是牛逼的(大雾

查看全部评分

Cel3mt
发表于 2023-8-31 10:21:06 | 显示全部楼层
神龟Turmi 发表于 2023-8-30 17:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...

我记得多年前毛豆官方就说专门针对无文件攻击做过强化,等我周末试一试。

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 是指还有虚拟化和核心人员的?虚拟化砍了。

查看全部评分

Cel3mt
发表于 2023-8-31 16:49:48 | 显示全部楼层
神龟Turmi 发表于 2023-8-30 17:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...

我大概试了一下,因为楼主已经对样本做了无害化处理,结果不一定准。
除了有几个是txt格式的文本,不知道怎么测(好像2号样本也是txt格式的),其余的样本都被自动沙盒隔离。

1、一部分是调用dllhost.exe访问COM接口LocalSecurityAuthority.Shutdown,因为是高危动作,被沙盒自动阻止。
2、有的是样本自己联网,有的是调用notepad.exe执行联网,防火墙都弹窗。

因为是简单测试,只是看到毛豆的拦截日志,没有关注更多的执行动作。个人判断,应该还是防得住的。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
神龟Turmi
发表于 2023-8-31 19:29:35 | 显示全部楼层
Cel3mt 发表于 2023-8-31 16:49
我大概试了一下,因为楼主已经对样本做了无害化处理,结果不一定准。
除了有几个是txt格式的文本,不知 ...

刚好你“不知道怎么测”的才是无文件攻击,其他的都不是
如果是正常的攻击链,执行无文件攻击之前应该有前向的步骤,例如提前拿到内网SSH/RDP或者有前置的payload,无文件攻击一般用来横向传播
考虑到是测试,最简单的办法就是复制内容然后打开powershell粘贴进去回车执行

如果你有兴趣的话可以试一下PsEmpire,那个生成的攻击脚本都可以实现无文件
我第四期有用到 但是没有测comodo

评分

参与人数 3人气 +4 收起 理由
yexo + 1 版区有你更精彩: )
HEMM + 1 那还不测测看幸运值
Cel3mt + 2 感谢提供分享

查看全部评分

petr0vic
发表于 2023-9-2 02:30:18 | 显示全部楼层
神龟Turmi 发表于 2023-8-30 12:37
出自https://bbs.kafan.cn/thread-2250429-1-1.html
Comodo无论是HIPS还是自动沙箱 对无文件攻击都是 ...
Comodo(注:无脑入沙是否算有效检测请自行判断)



comodo missed or not?
all samples -> contained
petr0vic
发表于 2023-9-2 02:41:48 | 显示全部楼层
本帖最后由 petr0vic 于 2023-9-1 22:20 编辑
Cel3mt 发表于 2023-8-31 05:21
我记得多年前毛豆官方就说专门针对无文件攻击做过强化,等我周末试一试。

Fileless Malware
https://asec.ahnlab.com/ko/56438/

https://bazaar.abuse.ch/sample/f766b4fc1e1d81dec8d9103cefc10be9fc9d14df021b846f27c8c5c8fefbee19/




File is not analyzed by Valkyrie
https://v.comodo.com/get_info?sh ... 917d1e98c04d872a074

firewall - custom
hips-off
auto-containment - enable







firewall- safe mode



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:18 , Processed in 0.087203 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表