银狐木马 1X

显示全部楼层 · 发表于 2024-9-26 18:49:01

00006666 发表于 2024-9-26 18:46
银狐类样本，漏洞驱动加载成功后，木马作者能想到的杀软/EDR/各种防护软件都会被它干掉，他们甚至能想到 ...

不过重启以后bd agent就复活了，而且全扫描可以干掉阳途的东西

显示全部楼层 · 发表于 2024-9-26 18:50:37

本帖最后由 00006666 于 2024-9-26 18:54 编辑

inhh1 发表于 2024-9-26 18:49
不过重启以后bd agent就复活了，而且全扫描可以干掉阳途的东西

那大概就是没加载漏洞驱动，他们还有些R3强制关进程的手段

显示全部楼层 · 发表于 2024-9-26 19:00:35

00006666 发表于 2024-9-26 18:46
银狐类样本，漏洞驱动加载成功后，木马作者能想到的杀软/EDR/各种防护软件都会被它干掉，他们甚至能想到 ...

https://bbs.kafan.cn/forum.php?m ... 70&pid=55193394

没看错的话这两个样本用的是同一个漏洞驱动。BEST理应具有拦截其加载并自保的能力。

显示全部楼层 · 发表于 2024-9-26 19:02:22

Hibike 发表于 2024-9-26 19:00
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2274170&pid=55193394

没看错的话 ...

驱动加载起来，既然能干掉杀软，不太可能能让杀软继续运行，后面杀软还能运行，那大概就是驱动没加载成功，或者出什么BUG，驱动重启后没运行

显示全部楼层 · 发表于 2024-9-26 19:05:12

inhh1 发表于 2024-9-26 18:49
不过重启以后bd agent就复活了，而且全扫描可以干掉阳途的东西

要不你看看，BD有没有拦截计划任务啥的

显示全部楼层 · 发表于 2024-9-26 19:07:21

Hibike 发表于 2024-9-26 19:00
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2274170&pid=55193394

没看错的话 ...

best就奇奇怪怪的，提示是提示说主机安全服务死了，请重启系统（说明的确是被干掉了）
但是重启以后屁事没有，衍生物自启动也没写进去
估计还是偷偷摸摸留了点什么手段，不显示在event log里面

显示全部楼层 · 发表于 2024-9-26 19:07:46

00006666 发表于 2024-9-26 19:05
要不你看看，BD有没有拦截计划任务啥的

拦了，但是event log没有任何提示

显示全部楼层 · 发表于 2024-9-26 19:08:05

本帖最后由 00006666 于 2024-9-26 19:10 编辑

inhh1 发表于 2024-9-26 19:07
best就奇奇怪怪的，提示是提示说主机安全服务死了，请重启系统（说明的确是被干掉了）
但是重启以后屁事 ...

说明它驱动没把best完全干掉，不然连提示都看不到

显示全部楼层 · 发表于 2024-9-26 19:18:41

00006666 发表于 2024-9-26 19:02
驱动加载起来，既然能干掉杀软，不太可能能让杀软继续运行，后面杀软还能运行，那大概就是驱动没加载成功 ...

我的意思是，对比两个帖子就能推测出BEST是会直接拦截这个驱动的加载的，根本不应该出现本帖层主的情况

显示全部楼层 · 发表于 2024-9-26 19:28:07

Hibike 发表于 2024-9-26 19:18
我的意思是，对比两个帖子就能推测出BEST是会直接拦截这个驱动的加载的，根本不应该出现本帖层主的情况

那个拦截驱动的也是我测的，按道理都是一个虚拟机不会有什么差别，但是不明白为啥这次就抽风

[病毒样本] 银狐木马 1X