这个GenP有问题吗

显示全部楼层 · 发表于 2024-4-8 19:32:47

Adobe GenP 3.4.12.zip
https://www.lanzoub.com/iaNRP1ucw1zc

显示全部楼层 · 发表于 2024-4-8 19:59:56

我不好说

显示全部楼层 · 发表于 2024-4-8 20:25:45

不好说不好说，建议和GitHub原版比个hash，这种补丁类的真的不好判断

显示全部楼层 · 发表于 2024-4-8 20:44:14

S1双击 miss

EDR上看见部分可疑行为，个人觉得应该有问题

Detected attempts to disable or modify security tools

Detected hooking with SetHook API

Encoded Powershell payload contained a base64 URL identifier

Detected modification of Event Tracing for Windows by suspicious process

显示全部楼层 · 发表于 2024-4-8 20:47:20

RainCloud9 发表于 2024-4-8 20:25
不好说不好说，建议和GitHub原版比个hash，这种补丁类的真的不好判断

github原版的是autoit的代码，并且代码包含二进制注入的补丁，安全性也是未知的。
而且github上的GenP 3.0是很古老的（大概2019年的），最近reddit社区里又更新了一个版本的 GenP 3.4。
在GenP 3.4中，对于adobe产品的二进制补丁似乎都写在ini文件里了，尽管仍不能保证100％安全，但由于其长度极短，所以有害的可能性不大。所以关键在于主程序。
有没有大神有空反编译一下主程序呀

显示全部楼层 · 发表于 2024-4-8 20:52:01

本帖最后由偶偶偶114514 于 2024-4-8 21:00 编辑

kes静态/沙盒不k

显示全部楼层 · 发表于 2024-4-8 20:53:58

，就一个. 发表于 2024-4-8 20:44
S1双击 miss

EDR上看见部分可疑行为，个人觉得应该有问题

S1有给攻击链或者其他详细信息吗

显示全部楼层 · 发表于 2024-4-8 20:54:23

偶偶偶114514 发表于 2024-4-8 20:52
kes

KES检测的结果是啥

显示全部楼层 · 发表于 2024-4-8 21:00:49

本帖最后由，就一个. 于 2024-4-8 21:06 编辑

moulayou 发表于 2024-4-8 20:53
S1有给攻击链或者其他详细信息吗

[color=var(--s1-N-90-color)]Evasion

Host file was modified
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1562.001]

PowerShell encoded command connected to the web
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1140]

Detected encoded cmd.exe or AMSI commands from persistent group (autorun/startup folder/scheduled task)
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1140][[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1480.001]
[color=var(--s1-N-60-color)]MITRE : Persistence [[color=var(--s1-P-40-color)]T1547.001][[color=var(--s1-P-40-color)]T1053.005]
[color=var(--s1-N-60-color)]MITRE : Privilege Escalation [[color=var(--s1-P-40-color)]T1547.001][[color=var(--s1-P-40-color)]T1053.005]
[color=var(--s1-N-60-color)]MITRE : Execution [[color=var(--s1-P-40-color)]T1053.005]

An encoded PowerShell command was detected
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1140][[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1480.001]

An obfuscated PowerShell command was detected
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1140][[color=var(--s1-P-40-color)]T1480.001]

Indirect command was executed
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1218][[color=var(--s1-P-40-color)]T1202]

Process executed with PE file embedded in recource
[color=var(--s1-N-60-color)]MITRE : Command and Control [[color=var(--s1-P-40-color)]T1132]
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1480.001]

[color=var(--s1-N-90-color)]Exploitation

Detected suspicious shellcode API call from PowerShell
[color=var(--s1-N-60-color)]MITRE : Execution [[color=var(--s1-P-40-color)]T1059.001][[color=var(--s1-P-40-color)]T1106]
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1140]

[color=var(--s1-N-90-color)]Post Exploitation

A chained powershell that contains encoded URLs was executed
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1218][[color=var(--s1-P-40-color)]T1202][[color=var(--s1-P-40-color)]T1140][[color=var(--s1-P-40-color)]T1027][[color=var(--s1-P-40-color)]T1480.001]

[color=var(--s1-N-90-color)]General

Powershell execution policy was changed
[color=var(--s1-N-60-color)]MITRE : Execution [[color=var(--s1-P-40-color)]T1059.001]

[color=var(--s1-N-90-color)]Defense Evasion

Detected modification of Event Tracing for Windows by suspicious process
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1562.006]

[color=var(--s1-N-90-color)]Privilege Escalation

Process created with different token by non-system process
[color=var(--s1-N-60-color)]MITRE : Privilege Escalation [[color=var(--s1-P-40-color)]T1134.002][[color=var(--s1-P-40-color)]T1078]
[color=var(--s1-N-60-color)]MITRE : Defense Evasion [[color=var(--s1-P-40-color)]T1134.002][[color=var(--s1-P-40-color)]T1078]
[color=var(--s1-N-60-color)]MITRE : Persistence [[color=var(--s1-P-40-color)]T1078]
[color=var(--s1-N-60-color)]MITRE : Initial Access [[color=var(--s1-P-40-color)]T1078]

显示全部楼层 · 发表于 2024-4-8 21:01:12

moulayou 发表于 2024-4-8 20:54
KES检测的结果是啥

敏感改到高也不报，沙盒不pdm

[可疑文件] 这个GenP有问题吗

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源