有合作方想引诱我们打开这个所谓的表格

显示全部楼层 · 发表于 2024-2-2 21:06:47

本帖最后由 ParanoiaSeal 于 2024-2-2 21:21 编辑

补一个 Microsoft Defender 的测试。
测试环境：测试在 Windows 11 虚拟机中进行。使用旧版 UI 进行测试，使用 ConfigureDefender 调整等级到 Interactive，定义创建时间 2024/2/2 14:17。

测试过程：

1. 解压样本，MD 依旧没有扫描出来，离谱🤔按道理 MAPS 早都该杀了

在智能应用控制打开时，无法加载该 MSI 文件，初步防御成功。为了防止智能应用控制滥杀，将其关闭后重新运行。

2. 双击后衍生物被 ASR 阻断。

看起来 ASR 更像是滥杀的（）至少让我们窥见了这个文件的大致样貌——伪装成 WINWORD 运行的安装程序，然后在后台偷偷释放衍生物。MD 快速扫描并没有扫出东西，看起来病毒没有发作。

不妨关掉 ASR 再测一次。

3. 在这里我先用 ConfigureDefender（后文简称 CD）把等级跳到 Default，如果半天没动静就跳到 Max 看看情况。Default 下 ASR 完全不开启，可以防止滥杀的情况。

关掉 ASR 的 MD 没有主动拦截 MSI 的释放行为。MSI 在进度条走完后自动关闭了窗口。不过过了大概 20s，MD 杀了一个释放在 Public 用户文件夹下面的 DLL。但病毒是否成功运行情况未知，切换到 Max 之后快速扫描报告安全，在这里就不展开测试了。

总结：

开着 ASR 和/或智能应用控制的 Microsoft Defender 绝对能防住，关掉之后就不清楚了

显示全部楼层 · 发表于 2024-2-3 11:49:54

360kill

显示全部楼层 · 发表于 2024-2-3 11:55:53

ParanoiaSeal 发表于 2024-2-2 21:06
补一个 Microsoft Defender 的测试。
测试环境：测试在 Windows 11 虚拟机中进行。使用旧版 UI 进行测试， ...

理论上白加黑的黑dll被击杀后应该没问题了吧

显示全部楼层 · 发表于 2024-2-3 11:57:39

GDHJDSYDH 发表于 2024-2-3 11:55
理论上白加黑的黑dll被击杀后应该没问题了吧

如果是白+黑的话，那应该确实没问题了

显示全部楼层 · 发表于 2024-2-3 17:21:36

本帖最后由 kfltzh21 于 2024-2-3 17:24 编辑

供应链攻击
你们是什么行业？芯片？是否有和一些重要公司有合作？
如果你们公司确实不大的话，应该是供应链攻击。通过你们的数据，可以获知或推测出一些行业的关键数据。

显示全部楼层 · 发表于 2024-2-3 17:32:47

本帖最后由 Nocria 于 2024-2-3 17:35 编辑

IKARUS

Date and Time: 2/3/2024 5:29:34 PM
File Name: 20240201DFH.msi
Original Path: C:\Users\promi\Desktop\20240201DFH病毒样本
File Size: 28411904 b
File Size: 27746 kB
Detection Name: possible-Threat.Hacktool
Detection-ID: 478101135
Suggestion: Backup and Delete

复制代码

显示全部楼层 · 发表于 2024-2-3 21:34:49

应该是供应链攻击

显示全部楼层 · 发表于 2024-2-3 23:56:41

真有这种稀烂合作方

显示全部楼层 · 发表于 2024-2-4 08:48:49

红伞入库？

显示全部楼层 · 发表于 2024-2-4 08:50:21

大概率是对面微信被盗了

[可疑文件] 有合作方想引诱我们打开这个所谓的表格

本帖子中包含更多资源

评分

本帖子中包含更多资源