查看: 2162|回复: 8
收起左侧

[杀软评测] 【2024.09】SOPHOS 勒索行為防禦測試

[复制链接]
761773275
发表于 2024-9-2 00:09:01 | 显示全部楼层 |阅读模式
本帖最后由 761773275 于 2024-9-2 23:48 编辑

2024年了,想深度測試護士的HMPA自研主防的實力如何,實力提升了多少

本次測試將使用20個勒索病毒樣本單獨測試護士的預防模塊(基於行為檢測惡意/加密行為)樣本選取1年內的,剔除無效樣本


護士:沒有人比我對勒索更執著永恆之藍受害者)不是
火絨對比測試(有對比才有傷害)
火絨設定:內存防禦阻止模式,主防開啟誘捕 回滾關鍵程序保護 開,其他默認


01:fakeRansom 星铁白加黑  成功)(火絨主防檢測)
HMPA:檢測  (準確攔截勒索行為
SOPHOS:檢測 (準確攔截勒索行為
兩個主防均成功攔截勒索行為
Snipaste_2024-09-01_23-09-29.jpg
02: Ransom.morgan  成功(火絨寄)
HMPA:檢測  (準確攔截勒索行為
SOPHOS:miss (未能檢測
HMPA攔截勒索行為

Snipaste_2024-09-01_23-19-22.jpg


03:beast Ransom成功(火絨主防檢測)
HMPA: miss未能檢測
SOPHOS:檢測 準確攔截勒索行為
Snipaste_2024-09-01_23-25-51.jpg


04:Looy Ransomware成功(火絨寄)
HMPA: 未檢測未檢測
SOPHOS:檢測 (攔截惡意行為

Snipaste_2024-09-01_23-38-44.jpg


05:Encoder Ransom成功(火絨內存防護檢測)
HMPA: 檢測準確攔截勒索行為
SOPHOS:檢測 準確攔截勒索行為

Snipaste_2024-09-01_23-30-55.jpg

06:OrangeCell Ransom成功(火絨寄)
HMPA: 失敗
SOPHOS:檢測 攔截惡意行為

Snipaste_2024-09-01_23-52-05.jpg



07:GuardSync Dynamics Remcos成功(火絨寄)
HMPA: 失敗
SOPHOS:檢測 攔截惡意行為

Snipaste_2024-09-01_23-54-42.jpg


08:PS1 Ransom成功(火絨內存防護檢測)
HMPA: 檢測攔截惡意行為
SOPHOS:失敗

Snipaste_2024-09-01_23-57-26.jpg

09:Ransom.Lockbit成功(火絨主防檢測)
HMPA: 失敗
SOPHOS:檢測 攔截勒索內存特徵

Snipaste_2024-09-01_23-58-34.jpg



10:Rhysida #Ransomware成功(火絨主防檢測)
HMPA: 檢測準確攔截勒索行為
SOPHOS:檢測 準確攔截勒索行為

Snipaste_2024-09-02_00-04-19.jpg


11:Ransom.jayy失敗(護士主程序被kill)(火絨主防檢測)
HMPA: MISS
SOPHOS:MISS


Snipaste_2024-09-02_22-05-03.jpg

12:Ransomware CRTYY失敗(虛擬機都寄了)(火絨寄)
HMPA: MISS
SOPHOS:MISS


13:Ransom.hellokitty成功(火絨內存防護檢測)
HMPA: 失敗
SOPHOS:檢測 攔截勒索行為


Snipaste_2024-09-02_22-18-52.jpg


14:Xtbl.Ransom (2023-10-25) 成功(火絨內存防護檢測)
HMPA: 檢測準確攔截勒索行為
SOPHOS:檢測 準確攔截勒索內存特徵)(攔截惡意行為)


Snipaste_2024-09-02_22-25-43.jpg

15:Ransom.phobos成功(火絨主防檢測)
HMPA: 檢測攔截注入行為
SOPHOS:檢測 準確攔截勒索內存特徵)(攔截持久化惡意行為)
Snipaste_2024-09-02_22-37-37.jpg


16:Ransom.lixihong10失敗(火絨寄)
HMPA: MISS
SOPHOS:MISS
Snipaste_2024-09-02_22-42-43.jpg

17:ByPassPYAS Ransonware 失敗(火絨寄)
HMPA: MISS
SOPHOS:MISS
Snipaste_2024-09-02_22-45-20.jpg


18:ransom.nocry 成功(火絨主防檢測)
HMPA: 檢測攔截勒索行為
SOPHOS:失敗
Snipaste_2024-09-02_22-52-22.jpg


19:Ransomware-Maker.cs成功(火絨主防檢測)
HMPA: 檢測攔截勒索行為
SOPHOS:失敗
Snipaste_2024-09-02_22-56-53.jpg


20:vcruntime140.dll QQ音樂白加黑勒索成功(火絨寄)
HMPA: 檢測攔截勒索行為
SOPHOS:失敗
Snipaste_2024-09-02_23-06-45.jpg



總成績:16/20  80%
SOPHOS 成績:11/20  55%
HMPA 成績:10/20  50%

火絨成績12/20  60% 有內存掃描就是好單從主防來看,只有國外廠商一半的水平


之後會再測cs/遠控,測試護士IPS和主防對c2阻斷的實力







评分

参与人数 4经验 +60 魅力 +1 人气 +7 收起 理由
白露为霜 + 60 + 1 版区有你更精彩: )
Picca + 1
swizzer + 3
驭龙 + 3 版区有你更精彩: )

查看全部评分

18qaz
发表于 2024-9-4 21:49:08 | 显示全部楼层
没看懂,HMPA不是已经集成在Sophos中了吗,为啥结果是HMPA和Sophos是分开的?是单独装HMPA和Sophos测了一下,还是说根据Sophos的报法,把Sophos中HMPA报的和剩余功能报的人为分开统计了?
761773275
 楼主| 发表于 2024-9-4 22:10:17 | 显示全部楼层
18qaz 发表于 2024-9-4 21:49
没看懂,HMPA不是已经集成在Sophos中了吗,为啥结果是HMPA和Sophos是分开的?是单独装HMPA和Sophos测了一下 ...

對,分開算了,因為hmpa老是搶人頭 開的偵測模式,即使hmpa攔截了也不終止,繼續跑
18qaz
发表于 2024-9-5 08:11:51 | 显示全部楼层
761773275 发表于 2024-9-4 22:10
對,分開算了,因為hmpa老是搶人頭 開的偵測模式,即使hmpa攔截了也不終止,繼續跑

那综合来看Sophos还是可以的
Picca
发表于 2024-9-6 22:05:32 | 显示全部楼层
没看懂耶,请教一下。是把Sophos和hmpa装在一个电脑用户里面,同时测试的吗?相同的地方下两次钩子不会引起冲突吗?毕竟这两个都是hmpa的技术
761773275
 楼主| 发表于 2024-9-6 22:22:53 | 显示全部楼层
Picca 发表于 2024-9-6 22:05
没看懂耶,请教一下。是把Sophos和hmpa装在一个电脑用户里面,同时测试的吗?相同的地方下两次钩子不 ...

sophos本身就帶hmpa
Picca
发表于 2024-9-6 22:31:32 | 显示全部楼层
761773275 发表于 2024-9-6 22:22
sophos本身就帶hmpa

哦哦,懂了。话说sophos带的hmpa和单独的hmpa,功能和版本有区别吗?
761773275
 楼主| 发表于 2024-9-6 22:33:19 | 显示全部楼层
Picca 发表于 2024-9-6 22:31
哦哦,懂了。话说sophos带的hmpa和单独的hmpa,功能和版本有区别吗?

有區別,是定製版的,沒有原版那麽激進,誤報低很多
Picca
发表于 2024-9-6 22:34:24 | 显示全部楼层
761773275 发表于 2024-9-6 22:33
有區別,是定製版的,沒有原版那麽激進,誤報低很多

OK,谢谢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 18:02 , Processed in 0.119433 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表