卡巴对银狐的防御水平现在怎么样了

显示全部楼层 · 发表于 2024-12-7 17:27:23

最近办公，还有微信群里，陆陆续续受到过很多次疑似银狐链接。不知道卡巴防御怎么样（看样本区似乎不如eset？）。公司服务器还被勒索了笑死。

显示全部楼层 · 发表于 2024-12-7 17:44:39

主防防银狐还是比较稳的，论坛看下来应该大于等于e

显示全部楼层 · 发表于 2024-12-7 18:02:11

卡巴对银狐的主防规则目前来看还是比较靠谱的。

显示全部楼层 · 发表于 2024-12-7 18:30:37

单论扫描的话，卡巴可能比ESET差一丢丢，但加上主防规则的防御，卡巴对付银狐的能力大于ESET，更重要的是卡巴用户测试的银狐，一旦被PDM识别，几秒钟就会被KSN共享全部卡巴用户，进行UDS查杀，所以响应速度肯定是好于ESET的

显示全部楼层 · 发表于 2024-12-7 18:40:01

新版的银狐是防不住的，只能依靠云拉黑，在运行之前干掉它，如果一旦运行起来就，重启电脑，卡巴就无法正常运行了！

显示全部楼层 · 发表于 2024-12-7 18:54:15

不太行，对于最近流行的MSI格式的银狐，还是没有创建HEUR特征，都是依靠哈希拉黑的。另外最近流行的样本会加驱来禁用杀软，在云未拉黑之前，卡巴的主防也没用。

显示全部楼层 · 发表于 2024-12-7 19:01:28

anthonyqian 发表于 2024-12-7 18:54
不太行，对于最近流行的MSI格式的银狐，还是没有创建HEUR特征，都是依靠哈希拉黑的。另外最近流行的样本会 ...

关键是近期的银狐，谁杀都有难度，这银狐更新太快了，唉，感觉也就EDR才有可能防的好一点

显示全部楼层 · 发表于 2024-12-7 19:11:39

驭龙发表于 2024-12-7 19:01
关键是近期的银狐，谁杀都有难度，这银狐更新太快了，唉，感觉也就EDR才有可能防的好一点

eset有比较大概率elg能检出
蛐蛐企业版会newly encounter阻断然后几小时之后云判黑
别的好像没有特别稳的包括那些机器学习方案（机学普遍无法扫描msi）
di本身不会被银狐杀掉但是衍生物也清不干净会反复捉shellcode捉了又捉

显示全部楼层 · 发表于 2024-12-7 19:16:07

比起無力反擊MD好就行

显示全部楼层 · 发表于 2024-12-7 19:18:28

本帖最后由隔山打空气于 2024-12-7 19:27 编辑

驭龙发表于 2024-12-7 19:01
关键是近期的银狐，谁杀都有难度，这银狐更新太快了，唉，感觉也就EDR才有可能防的好一点

这已经不仅是有没有EDR的问题了，这直接考验安全厂商跟踪已知BYOVD的情报速度，甚至对未拉黑/证书被修改后的BYOVD//恶意驱动加载动作和相关异常服务创建动作的行为通杀能力，后者对几乎所有终端安全厂商都是不小的挑战（

最大的问题不是检测驱动加载，而是直接区分并拦截恶意行为的同时保证较低的FP（全自动的痛点）

这方面国内杀软反而方便点，带半自动HIPS直接降低难度，挂上API，规则一设，匹配行为问用户就完事了（
过了这一关，才能谈能不能拦截后续行为（比如说idsc方式调用API/Pool party手法注入系统进程的）

[交流探讨] 卡巴对银狐的防御水平现在怎么样了

评分

评分

评分