#Electron #Stealer

显示全部楼层 · 发表于 2024-1-15 15:11:50

GDHJDSYDH 发表于 2024-1-15 15:10
那么像我在沙箱里运行测试的这样不断生成cmd和tasklist是代表样本正在偷窃吗？中途被强行中止那么偷窃还 ...

cmd似乎只是收集系统信息的。中途中止大概没什么问题，但还是不建议实体机运行

显示全部楼层 · 发表于 2024-1-15 15:11:54

swizzer 发表于 2024-1-15 15:08
这一系列基本都是用Discord bot作为存储设施了。脚本里webhook换一下就能变成自己的Stealer，很适合MaaS[ ...

反正杀软厂家一定会 deobfuscate > readable 后才添加启发特征通杀，主要是看时间而已。

显示全部楼层 · 发表于 2024-1-15 15:14:07

本帖最后由 hhjjjjjj123 于 2024-1-15 15:17 编辑

卡巴清空UDS:Trojan-GameThief.Win32.Worgtop.ie窃贼emsisoft扫描0

显示全部楼层 · 发表于 2024-1-15 15:14:27

swizzer 发表于 2024-1-15 15:11
cmd似乎只是收集系统信息的。中途中止大概没什么问题，但还是不建议实体机运行

理论上沙箱环境也不一定算作实体机吧，况且我加了严格的资源访问规则和撤销了管理员权限，之前测试某些样本的时候在沙箱里运行也被样本视为在虚拟机里运行

显示全部楼层 · 发表于 2024-1-15 15:15:13

swizzer 发表于 2024-1-15 15:11
cmd似乎只是收集系统信息的。中途中止大概没什么问题，但还是不建议实体机运行

一般情况下，不允许除了白名单的程序访问网络且沙盒内阻止访问敏感数据文件夹的话运行问题也不大吧。

显示全部楼层 · 发表于 2024-1-15 15:20:10

hansyu 发表于 2024-1-15 15:15
一般情况下，不允许除了白名单的程序访问网络且沙盒内阻止访问敏感数据文件夹的话运行问题也不大吧。

其实在沙箱里运行任何恶意软件都不应该被鼓励（

只是考虑到现实中遇到SBie的RCE洞被恶意软件利用的概率几乎为0并且目前并没有多少样本去尝试绕过SBie，所以才能说问题不大吧。基于应用层的重定向其实真的不能说很安全

显示全部楼层 · 发表于 2024-1-15 15:36:39

swizzer 发表于 2024-1-15 15:20
其实在沙箱里运行任何恶意软件都不应该被鼓励（

~~只是考虑到现实中遇到SBie的RCE洞被恶意软件利用的 ...~~

~~我很好奇在野样本有没有非常强力能够一下打穿SBIE的隔离环境并且避开ESET+卡巴的查杀和防御的王者级样本呢？~~

显示全部楼层 · 发表于 2024-1-15 15:47:54

GDHJDSYDH 发表于 2024-1-15 15:36

~~我很好奇在野样本有没有非常强力能够一下打穿SBIE的隔离环境并且避开ESET+卡巴的查杀和防御的王者级样 ...~~

就算存在也不会出现在样本区

显示全部楼层 · 发表于 2024-1-15 17:48:29

crowdstrike miss all

显示全部楼层 · 发表于 2024-1-15 21:25:11

[病毒样本] #Electron #Stealer