【2024.09】SOPHOS 勒索行為防禦測試

显示全部楼层 · 发表于 2024-9-2 00:09:01

本帖最后由 761773275 于 2024-9-2 23:48 编辑

2024年了，想深度測試護士的HMPA和自研主防的實力如何，實力提升了多少

本次測試將使用20個勒索病毒樣本單獨測試護士的預防模塊（基於行為檢測惡意/加密行為）樣本選取1年內的，剔除無效樣本

護士：沒有人比我對勒索更執著

永恆之藍受害者）不是
火絨對比測試（有對比才有傷害）

火絨設定：內存防禦阻止模式，主防開啟誘捕回滾，關鍵程序保護開，其他默認

01:fakeRansom 星铁白加黑（成功）（火絨主防檢測）
HMPA:檢測（準確攔截勒索行為）
SOPHOS:檢測（準確攔截勒索行為）
兩個主防均成功攔截勒索行為

02: Ransom.morgan （成功）（火絨寄）
HMPA:檢測（準確攔截勒索行為）
SOPHOS:miss （未能檢測）
HMPA攔截勒索行為

03：beast Ransom（成功）（火絨主防檢測）
HMPA: miss （未能檢測）
SOPHOS:檢測（準確攔截勒索行為）

04：Looy Ransomware（成功）（火絨寄）
HMPA: 未檢測（未檢測）
SOPHOS:檢測（攔截惡意行為）

05：Encoder Ransom（成功）（火絨內存防護檢測）
HMPA: 檢測（準確攔截勒索行為）
SOPHOS:檢測（準確攔截勒索行為）

06：OrangeCell Ransom（成功）（火絨寄）
HMPA: 失敗
SOPHOS:檢測（攔截惡意行為）

07：GuardSync Dynamics Remcos（成功）（火絨寄）
HMPA: 失敗
SOPHOS:檢測（攔截惡意行為）

08：PS1 Ransom（成功）（火絨內存防護檢測）
HMPA: 檢測（攔截惡意行為）
SOPHOS:失敗

09：Ransom.Lockbit（成功）（火絨主防檢測）
HMPA: 失敗
SOPHOS:檢測（攔截勒索內存特徵）

10：Rhysida #Ransomware（成功）（火絨主防檢測）
HMPA: 檢測（準確攔截勒索行為）
SOPHOS:檢測（準確攔截勒索行為）

11：Ransom.jayy（失敗）（護士主程序被kill）（火絨主防檢測）
HMPA: MISS
SOPHOS:MISS

12:Ransomware CRTYY（失敗）(虛擬機都寄了)（火絨寄）
HMPA: MISS
SOPHOS:MISS

13：Ransom.hellokitty（成功）（火絨內存防護檢測）
HMPA: 失敗
SOPHOS:檢測（攔截勒索行為）

14：Xtbl.Ransom (2023-10-25) （成功）（火絨內存防護檢測）
HMPA: 檢測（準確攔截勒索行為）
SOPHOS:檢測（準確攔截勒索內存特徵）（攔截惡意行為）

15：Ransom.phobos（成功）（火絨主防檢測）
HMPA: 檢測（攔截注入行為）
SOPHOS:檢測（準確攔截勒索內存特徵）（攔截持久化惡意行為）

16：Ransom.lixihong10（失敗）（火絨寄）
HMPA: MISS
SOPHOS:MISS

17:ByPassPYAS Ransonware （失敗）（火絨寄）
HMPA: MISS
SOPHOS:MISS

18:ransom.nocry （成功）（火絨主防檢測）
HMPA: 檢測（攔截勒索行為）
SOPHOS:失敗

19：Ransomware-Maker.cs（成功）（火絨主防檢測）
HMPA: 檢測（攔截勒索行為）
SOPHOS:失敗

20:vcruntime140.dll QQ音樂白加黑勒索（成功）（火絨寄）
HMPA: 檢測（攔截勒索行為）
SOPHOS:失敗

總成績：16/20  80%
SOPHOS 成績：11/20  55%
HMPA 成績：10/20  50%

火絨成績12/20  60% 有內存掃描就是好

單從主防來看，只有國外廠商一半的水平

之後會再測cs/遠控，測試護士IPS和主防對c2阻斷的實力

显示全部楼层 · 发表于 2024-9-4 21:49:08

没看懂，HMPA不是已经集成在Sophos中了吗，为啥结果是HMPA和Sophos是分开的？是单独装HMPA和Sophos测了一下，还是说根据Sophos的报法，把Sophos中HMPA报的和剩余功能报的人为分开统计了？

显示全部楼层 · 发表于 2024-9-4 22:10:17

18qaz 发表于 2024-9-4 21:49
没看懂，HMPA不是已经集成在Sophos中了吗，为啥结果是HMPA和Sophos是分开的？是单独装HMPA和Sophos测了一下 ...

對，分開算了，因為hmpa老是搶人頭

開的偵測模式，即使hmpa攔截了也不終止，繼續跑

显示全部楼层 · 发表于 2024-9-5 08:11:51

761773275 发表于 2024-9-4 22:10
對，分開算了，因為hmpa老是搶人頭開的偵測模式，即使hmpa攔截了也不終止，繼續跑

那综合来看Sophos还是可以的

显示全部楼层 · 发表于 2024-9-6 22:05:32

没看懂耶，请教一下。是把Sophos和hmpa装在一个电脑用户里面，同时测试的吗？相同的地方下两次钩子不会引起冲突吗？毕竟这两个都是hmpa的技术

显示全部楼层 · 发表于 2024-9-6 22:22:53

Picca 发表于 2024-9-6 22:05
没看懂耶，请教一下。是把Sophos和hmpa装在一个电脑用户里面，同时测试的吗？相同的地方下两次钩子不 ...

sophos本身就帶hmpa

显示全部楼层 · 发表于 2024-9-6 22:31:32

761773275 发表于 2024-9-6 22:22
sophos本身就帶hmpa

哦哦，懂了。话说sophos带的hmpa和单独的hmpa，功能和版本有区别吗？

显示全部楼层 · 发表于 2024-9-6 22:33:19

Picca 发表于 2024-9-6 22:31
哦哦，懂了。话说sophos带的hmpa和单独的hmpa，功能和版本有区别吗？

有區別，是定製版的，沒有原版那麽激進，誤報低很多

显示全部楼层 · 发表于 2024-9-6 22:34:24

761773275 发表于 2024-9-6 22:33
有區別，是定製版的，沒有原版那麽激進，誤報低很多

OK，谢谢

[杀软评测] 【2024.09】SOPHOS 勒索行為防禦測試

评分