CobaltStrike 1x

显示全部楼层 · 发表于 2024-4-9 18:57:42

UNknownOoo 发表于 2024-4-9 12:22
火绒
手动内存扫描 2x

听说加VMP火绒内存就不报了，扫描也不会报，不过其他杀软几乎会通杀盗版VMP

显示全部楼层 · 发表于 2024-4-9 19:16:07

00006666 发表于 2024-4-9 18:57
听说加VMP火绒内存就不报了，扫描也不会报，不过其他杀软几乎会通杀盗版VMP

内存扫不出vmp加固样本的问题好像在某个版本修了

vmp的话通用脱壳确实脱不了，除非特征针对（不过针对单个样本似乎每个杀毒软件都能做到？）

显示全部楼层 · 发表于 2024-4-9 19:18:52

UNknownOoo 发表于 2024-4-9 19:16
内存扫不出vmp加固样本的问题好像在某个版本修了

vmp的话通用脱壳确实脱不了，除非特征针对（不过针对 ...

我个人不觉得能修，除非黑产作者本身就没有正确使用VMP，比如没有用VMPSDK来虚拟化代码，正常的话VMP在内存中运行也是VMP自定义虚拟化的，就算DUMP出来也不好分析

显示全部楼层 · 发表于 2024-4-9 19:20:31

00006666 发表于 2024-4-9 19:18
我个人不觉得能修，除非黑产作者本身就没有正确使用VMP，比如没有用VMPSDK来虚拟化代码，正常的话VMP在内 ...

那估计是后者...就我目前观察黑灰产似乎普遍比较呆（x）

显示全部楼层 · 发表于 2024-4-9 19:48:33

UNknownOoo 发表于 2024-4-9 19:16
内存扫不出vmp加固样本的问题好像在某个版本修了

vmp的话通用脱壳确实脱不了，除非特征针对（不过针对 ...

不是修了，是给了个新的针对性特征CobaltStrike.I

显示全部楼层 · 发表于 2024-4-9 19:49:47

本帖最后由 00006666 于 2024-4-9 19:51 编辑

DisaPDB 发表于 2024-4-9 19:48
不是修了，是给了个新的针对性特征CobaltStrike.I

通杀VMP保护？

显示全部楼层 · 发表于 2024-4-9 19:50:34

00006666 发表于 2024-4-9 19:49
通杀VMP保护？

通杀CobaltStrike+VMP
至少4.7默认payload会被干掉

显示全部楼层 · 发表于 2024-4-9 19:53:09

DisaPDB 发表于 2024-4-9 19:50
通杀CobaltStrike+VMP
至少4.7默认payload会被干掉

不过CS shellcode可以自定义加载器来加载，加了VMP之后，内存特征应该都不一样，火绒怎么加的针对性特征

显示全部楼层 · 发表于 2024-4-9 20:59:30

Drweb found Trojan.Siggen28.20859.

显示全部楼层 · 发表于 2024-4-9 21:01:58

hz miss

[病毒样本] CobaltStrike 1x