疑似白加黑 (dll带WHQL)

ANY.LNK

wwwab 发表于 2023-8-26 17:53
不要着急，应该不用了，问题不大了已经，有大佬已经用Microsoft 365 Defender渠道上报了

非常感谢，这是哪位好心的仁兄？

隔山打空气

ANY.LNK 发表于 2023-8-26 18:06
非常感谢，这是哪位好心的仁兄？

我只是路过的（



有个E5开发者账号应该就好说了，反正能访问这个门户（因为E5Dev至少带有几乎完整的Defender for Office 365）

wwwab之前忙活了半天微软不理，我干脆也不解释那么多，直接打了个#WHQL #Farfli RAT 然后叫他们看恶意dll的VT结果...

然后就40分钟三包接连分析完，dll全部变为malware状态（我用了高优先级，刚好每天三次机会全用完），只能说企业渠道插队模式真的有点狠的（
也有可能是因为之前VT有其他厂商报告了（

还得是hunter们追踪上报了那么久，辛苦了（

hsks

隔山打空气 发表于 2023-8-26 18:53
我只是路过的（

英雄！

ANY.LNK

隔山打空气 发表于 2023-8-26 18:53
我只是路过的（

不过结果应该是已经出来了，所以分析的快些

因为我在25日晚到26日凌晨就已经用之前遗留下来的安全实验室企业账户以一般权限进行了提交，早上醒过来结果就已经是Malware，第一波入库已经完成并回复了（但不知为何之后检测又被取消了）






我还写了挺长的报告的说……

就我之前的经验而言，VT搞几家确实能提升微软添加检测的概率，不过也不一定，把分析报告写得详细点也可以。例如https://bbs.kafan.cn/thread-2256471-1-1.html我把我的分析报告给微软发过去，他们就在当时VT还是0报告的时候就鉴定为Malware并添加检测了

wwwab

ANY.LNK 发表于 2023-8-26 19:13
不过结果应该是已经出来了，所以分析的快些

因为我在25日晚到26日凌晨就已经用之前遗留下来的安全实验 ...

其实我昨天就提交过，你知道为什么你今天早上上报过去一片都是Not Malware吗，因为昨天我上报的那个分析师全给拉白了

隔山打空气

ANY.LNK 发表于 2023-8-26 19:13
不过结果应该是已经出来了，所以分析的快些

因为我在25日晚到26日凌晨就已经用之前遗留下来的安全实验 ...

辛苦了

微软的分析师确实表现很不稳定（

我感觉企业渠道和个人渠道都不是一个技术级别的分析师分析的（

微软特有的机器学习比人靠谱，当然在WHQL这方面不得不用人...

wwwab

ANY.LNK 发表于 2023-8-26 19:13
不过结果应该是已经出来了，所以分析的快些

因为我在25日晚到26日凌晨就已经用之前遗留下来的安全实验 ...

其实微软今年 7 月份通过 Windows 代码完整性功能 Windows Driver.STL 文件，拉黑了一批之前的 WHQL RootKit 的签名

https://msrc.microsoft.com/update-guide/vulnerability/ADV230001

https://support.microsoft.com/zh ... 3-9f0b-3230d31fca38



现在据说 WHQL 对于驱动的审核比之前严格了一些，不过最近又签了恶意的 dll 和 exe 又让人摸不着头脑了

P.S.  7 月份的那次安全更新，https://tieba.baidu.com/p/8504375153 据说微软似乎使用同样的方式还吊销了英伟达漏洞驱动的签名（？）

Jirehlov1234

https://www.virustotal.com/gui/f ... 7521a7e9c/detection

新样本，未签名

Jirehlov1234

Jirehlov1234 发表于 2023-8-24 05:50

改成了下载脚本，backup_folder自己改。
挂后台跑，不错过历史样本

Jirehlov1234

有一说一这更新是真勤快，几个钟头就更新一次，不过看了一下都没有签whql