瑞星卡卡安全论坛企业产品讨论区2012版瑞星杀毒软件公测专区 【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防

1   1  /  1  页   跳转

【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防

收藏
本主题由 在线技术支持工程师 瑞星工程师12 于 2012-3-1 8:35:01 执行 移动主题 操作
dong0022
头像
强壮不惑狮
  • 帖子:1003
  • 注册: 2011-09-17
  • 来自:
发表于: 2012-03-01 08:21 | 只看楼主 短消息 资料
字号: 1楼

【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防

实测白程序加载恶意dll过主防


最近大家一直在讨论病毒利用白文件加载恶意dll过主流杀软主动防御的新型方法,以后这种攻击类型肯定会越来越多,只靠简单的


征入库肯定没用,既然是盗号木马只要成功一次就够了,像什么事后查杀的智能引擎也只能是过后补救,至于号有没有被盗就看运


气了昨天正好看到有这样类型的样本,很多主流杀软主防如卡巴、微 点等都被突破了,今天测试一下瑞星2012版。


一楼是样本测试


二楼是样本详细的行为动作日志


三楼是样本(设置权限为5,方便大家测试,有安装2012防火墙的朋友可以测一下看联网行为是否放行)


这个样本集成了很多“先进”技术:

首先采用压缩包炸 弹:

解压前218KB:



解压后骤增到20.4MB,这对传统云鉴定是个挑战



其中解压后一个是暴风影音的正常文件,另一个是病毒dll:



给出瑞星版本信息:24.00.02.60(最新版本)



扫描没有发现威胁



进入测试的重点,双击运行

由于是暴风影音文件所以主防没有任何拦截,加载成功(由于没有安装防火墙,不知联网行为是否能拦截到,个人感觉即使拦截到估

计也会被云端放行)

病毒成功运行:



360卫士8.6beta3云主防3.0完美拦截

1.运行后拦截键盘记录器:



2.拦截联网行为:



3.联网如果点放行,防黑墙继续提示:



最后360完美拦截,可以看到如果光靠纯行为分析对这种白文件加载dll根本无效!以后这种攻击类型一定会被广为使用,希望重新加

的系统加固功能能有针对性的进行拦截!
最后编辑dong0022 最后编辑于 2012-03-01 15:26:37
分享到:
gototop
 
dong0022
头像
强壮不惑狮
  • 帖子:1003
  • 注册: 2011-09-17
  • 来自:
发表于: 2012-03-01 11:29 | 只看楼主 短消息 资料
字号: 2楼

回复:【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防

病毒详细行为动作其中最主要的是键盘记录器、联网远控,但其借用白文件启动dll主流杀软都是放过的,这点需要系统加固和防火

墙共同协同才能进防御。

2012-2-2912:51:35    创建新进程
允许
进程:c:\windows\explorer.exe
目标:e:\downloads\baofengupdates\bfupdate.exe
命令行:"E:\downloads\BAOFENGUPDATES\bfUpdate.exe"
规则: [应用程序]*

2012-2-29 12:51:53    修改注册表值
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Common Programs
:C:\Documents and Settings\All Users\「开始」菜单\程序
规则: [应用程序]* -> [注册表]*

2012-2-29 12:51:58    创建文件夹
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: C:\Documentsand Settings\All Users\「开始」菜单\程序\系统升级
规则: [应用程序]* -> [文件]*

2012-2-29 12:52:03    修改注册表值
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Common Templates
: C:\Documentsand Settings\All Users\Templates
规则: [应用程序]* -> [注册表]*

2012-2-29 12:52:13    创建文件
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标:C:\WINDOWS\system32\billlog.dat
规则: [应用程序]* -> [文件]*

2012-2-29 12:52:15    访问网络
允许
进程:e:\downloads\baofengupdates\bfupdate.exe
目标: TCP [本机 : 1386] ->  [119.121.6.178 : 8080]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-2-29 12:52:19  结束其他进程
允许
进程: e:\downloads\baofengupdates\bfupdate.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-2-29 12:52:26    创建注册表项
允许
进程:e:\downloads\baofengupdates\bfupdate.exe

目标:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
规则: [应用程序]* -> [注册表]*

2012-2-29 12:52:34  创建新进程
允许
进程: e:\downloads\baofengupdates\bfupdate.exe
目标: c:\windows\system32\userinit.exe
命令行: Userinit.exe
规则: [应用程序]*

2012-2-29 12:54:07  底层键盘操作
阻止
进程: e:\downloads\baofengupdates\bfupdate.exe
规则: [应用程序]*

最后编辑dong0022 最后编辑于 2012-03-01 15:17:41
gototop
 
dong0022
头像
强壮不惑狮
  • 帖子:1003
  • 注册: 2011-09-17
  • 来自:
发表于: 2012-03-01 11:30 | 只看楼主 短消息 资料
字号: 3楼

回复:【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防



样本上传权限设置为5,以便大家测试,另外安装防火墙的朋友可以看下联网行为是否拦截。


最后建议工程师不要简单入特征库,这种攻击方式会在今后成为主流,入库根本跟不上变种速度,而且还是那句话,盗号木马一旦运行


成功一次就够了,所以系统加固+行为分析+防火墙必须联动才能有效拦截!


解压密码:virus


附件: BAOFENGUPDATES.zip (2012-3-1 15:26:11, 224.30 K)
该附件被下载次数 251
最后编辑dong0022 最后编辑于 2012-03-01 15:26:11
gototop
 
dong0022
头像
强壮不惑狮
  • 帖子:1003
  • 注册: 2011-09-17
  • 来自:
发表于: 2012-03-01 15:28 | 只看楼主 短消息 资料
字号: 4楼

回复:【dong0022】瑞星2012专项测试(二)—实测白程序加载恶意dll过主防

权限已开放,希望工程师跟进一下,这种攻击方式以后将成为主流!
gototop
 
瑞星工程师12
头像
在线技术支持工程师
  • 帖子:21624
  • 注册: 2008-09-08
  • 来自:RISING
发表于: 2012-03-01 15:47 | 短消息 资料
字号: 5楼

回复 3F dong0022 的帖子

问题已收集反馈。感谢您参与公测活动!
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT