感觉中招了，可是火绒和360都扫描不出木马病毒

西风萧雨

784696777 发表于 2024-5-10 14:31
卡巴双击 PDM:Trojan.Win32.Generic.nblk

卡巴PDM报毒后不是可以回滚么

DisaPDB

UNknownOoo 发表于 2024-5-10 18:53

自备重载ntdll来脱钩，鉴定为菜

DisaPDB

安全测评 发表于 2024-5-10 20:07
创建傀儡进程cmd，然后注入explorer进行恶意行为，使用冰盾可以直接拦截这些恶意行为。
杀毒软件是基于 ...

能不能加一条规则针对发生在非ntdll地址的syscall命令？

784696777

西风萧雨 发表于 2024-5-12 16:09
卡巴PDM报毒后不是可以回滚么

确实回滚了

安全测评

DisaPDB 发表于 2024-5-12 17:56
能不能加一条规则针对发生在非ntdll地址的syscall命令？

为什么病毒都喜欢手动调用syscall? 因为x64后内核没法hook，标准的情况下，一些系统调用是没法通过驱动来监控的，比如跨进程申请内存、写内存、插入APC、修改线程上下文。而这几个api一般被利用创建傀儡进程、注入系统进程来执行恶意shellcode，使安全软件很难查杀病毒。为此，一些安全软件为注入到应用层使用hook的方式来监控这些api，一般是hook ntdll。
对抗就开始了，应用层的hook是很容易绕过的，简单是恢复hook，然后是自己映射一份ntdll，或者直接根据api的序列号直接调用sysenter/syscall，从而绕过安全软件的检测。
如果需要检测发生在非ntdll的syscall命令，可以在内核系统调用的入口（这个本来就没有办法，有办法就不需要hook了）或者系统回调（这个是可以的）发生的时候，通过堆栈回溯来判断入口点是不是ntdll。这样的意义不大，因为即使安全软件这样检测了，病毒是可以通过伪造堆栈来绕过检测的。
最好的解决方案是；
1. 通过权限控制，直接禁止掉跨进程写内存、插入APC、修改线程上下文的行为
2. 使用基于行为的防御手段，无论恶意代码注入到哪里，行为都是一样的，只要拦截行为就可以达到保护系统的目的。防护关键行为是：持久化、破坏系统、破坏文档。

DisaPDB

安全测评 发表于 2024-5-12 19:52
为什么病毒都喜欢手动调用syscall? 因为x64后内核没法hook，标准的情况下，一些系统调用是没法通过驱动来 ...

关键就在于如果非CallStack Cheating情况下进行非ntdll基址的SysCall就是一种高危行为，可以被视为绕过R3 Hook的技战术


再者，如果不在R0 Hook的话，调用MmCopyVirtualMemory&ZwCreateThreadEx什么的就能给你把注入绕过去了不是（）
这样的检测syscall或者int 2e其实Hook KiFastCallEntry就能做到
不过现在你肯定不可能在SSDT上面动手脚（除非你用EPT或者Infinity了，而且Inf还极度不稳定）
至于调用栈混淆，我记得ms在18年的补丁上就引入了影子入口这种东西，有可能会成为对抗的方式吗

scottxzt

ESET运行后报可疑，这里比AVIRA要棋高一招的，AVIRA在运行后没有报APC

2024/5/12 22:46:23;文件系统实时防护;文件;D:\病毒测试文件\CodeBlock-wallet_v1.3.1.exe;Suspicious Object;已通过删除清除;

安全测评

DisaPDB 发表于 2024-5-12 22:49
关键就在于如果非CallStack Cheating情况下进行非ntdll基址的SysCall就是一种高危行为，可以被视为绕过R3 ...

从行为角度来说，直接Syscall 绕过R3 Hook并不是高危行为，之所以被认为高危，是绕过之后可以执行躲避安全软件检测的敏感动作。一旦后续的操作可以被检测或者拦截，那么这个点就无所谓是否高危了；或者一旦这个方式可以被检测，病毒就不会使用这样的技术了。
安全软件一般不会很关注这个点，而且使用其他的方式来解决：
对杀毒软件，目前一般使用内存扫描的方式来检测（一般这种攻击会同时配合加密shellcode执行）
对于EDR，会在64位系统注入64位模块，从而拦截所有wow64场景的syscall行为；同时基于etw-ti来检测前面说的几个危险动作。
对于冰盾来说，下个版本会添加进程加固模板，可以加固系统进程或者配置的任意进程，从权限角度直接阻止修改内存、读取内存、APC注入等各类行为。同时也会考虑添加etw-ti来监控这些异常行为。
但是对抗是一个持续的过程，没有完美解决方案，不然就没有病毒了，一旦一个入口被封锁，就会出现另外一个入口。

scottxzt

对于一个普通的使用者，这种毒也是绕不开的，过了火绒的扫描，过了VIRUS Total 所有扫描器的扫描，过了火绒的自带HIPS，（不知道当时火绒HIPS有没有报警，但是大多数人会选择无视的，因为正常安装文件在安装时也是报的）还能有啥办法。就楼上老师贴的冰盾的镜像拦截，，我在使用ESET隐私浏览器时，冰盾也是报镜像拦截。普通使用者点多了真的分不清楚了。就我个人使用者来说我倒是希望杀软公司的云保护系统能够更加强大，能够更快速的对未知威胁做出反应。及时拦截、不要让我们普通用户来分辨这个安装文件是正常的和非正常的，是不是可疑。

00006666

DisaPDB 发表于 2024-5-12 22:49
关键就在于如果非CallStack Cheating情况下进行非ntdll基址的SysCall就是一种高危行为，可以被视为绕过R3 ...

不是所有软件都能做成360核晶的，几年前那个360白皮书说的东西现在都还很有道理。