与王者的较量---再次轻松绕过微点主动防御(看我帖子的人请回帖)
[b][font=Tahoma] [s:10][color=#ff0000][size=2]特别说明:此文可能很多地方存在一些技术上的遗漏和不足,有哪里说的不对的地方请各位朋友指点,互相学习交流,没有任何企图和目的。很多地方我讲的不是很专业,只代表个人的一点看法,希望各位牛人不要笑话我,谢谢您的合作给大家说了说思路,不要跟我要测试样本,感兴趣的朋友可以自己按照文章中的思路去揣摩研究,文章中有一个技术点点我省略了,但是对整体思路印象一点也不影响,我不是什么黑客,不懂黑客知识,不与任何黑客组织有联系,谢绝该方面打听。[/size] [/color][/font][/b][b][font=Tahoma] 近四个月来,在论坛上没有看到有人发表“过微点主动防御的文章,四个月前,我发表的利用vbs过微点的方法,不知道什么时候也被微点修补了,而且这四个月来,微点主动防御变化也很大,防护规则更严谨了,而且误报率也大大提升了
,原来的微点,误报率很让人头疼,而现在,微点的误报率很低,即使有误报,并且微点错误的将你文件删除后,也会自动恢复过来。[/font][/b]
[b][font=Tahoma] 前不久点饭网的技术总监绅博论坛的站长这两位我的好朋友,与我联系,希望和我共同研究一番微点现在的查杀机制,找一找微点的缺陷,再次突破微点。俗话说得好,道高一尺,魔高一丈,在黑与白的较量中,寻求技术的突破。今天我就来挑战自己,绕过微点的主动防御 。[/font][/b]
[b][font=Tahoma] 这次我们使用灰鸽子来突破微点主动防御,但是有几点要注意 ,现在主流的木马都是通过插入ie进程,或者是svchost.exe这个进程进行穿透防火墙,而且现在主流木马都是通过hook自身,实现隐藏进程,也就是说,你使用任务管理器。 查看木马的进程是看不到的,除非使用专业的病毒防护软件进行查看才能看得到有木马进程,“冰刃”是一款内核级系统安全辅助查找器,一但我们中了类似的木马病毒后,我们使用冰刃来查看自己计算机上的进程,就会发现,有一个或者多个进程显示为红色,这里要注意,显示为红色的进程就是极有可能是木马病毒的进程,冰刃里面显示为红色的进程名称就是被hook的进程,也就是隐藏进程。[/font][/b]
[b][font=Tahoma]微点查杀木马的几个绝招:
1.正常用户使用的程序,绝对不会hook自身,实现隐藏进程,而隐藏进程的必然是木马病毒。
2.正常用户使用的程序,绝对不会插入其它进程,尤其是ie浏览器和svchost.exe,这两个进程,一旦插入进程进行访问网络的程序必然是木马病毒。[/font][/b]
[b][font=Tahoma]要现说一说主流木马运过程:[/font][/b]
[b][font=Tahoma]1.双击木马运行。
2.木马会以隐藏窗口形式进行运行。
3.向C盘下的,windows 或system或system32.等等,系统关键的几个文件夹释放木马的文件。
4.注册服务,修改服务,或者修改注册表添加启动项,好让程序从新启动后能够再次运行。
5.插入ie浏览器进程和hook自身隐藏进程,外连网络。[/font][/b]
[b][font=Tahoma] 微点查杀木马就是依靠以上的几点规则来判断,你运行的程序是不是木马,然后进行拦截。
只要木马不具备这几点特征,自然微点也就不会拦截。我的思路就是构造正常用户的操作,这样微点就不会报警木马。
实现思路:
1.不隐藏进程
2.不插入进程外连网络
3,不修改注册表
4.不创建服务来实现启动[/font][/b]
[b][font=Tahoma]下面我们来开始构造用户正常的操作:
1.打开任务管理器。
2.结束alg.exe这个进程。
3.打开system32这个目录将alg.exe删除。
4.打开system32这个目录将系统自带的alg备份文件删除。(防止系统自修复alg.exe)
4.将木马文件改名alg.exe并且复制到system32。
5.然后运行alg.exe
6.就这么简单简单突破微点。[/font][/b]
[b][font=Tahoma]
这里要注意两点。
1.如果通过dos命令结束alg.exe,接着马上就删除文件的话,微点会马上报警可疑程序,并且会自动上传样本。
2.配置灰鸽子时候需要修改一些关键点,
(1)不注册服务
(2)不修改注册表
(3)不插入进程
(4)不隐藏进程
(5)木马的释放路径是绝对路径,路径必须是C:\windows\system32\alg.exe这个进程。
为什么要替换alg这个服务呢,原因是alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个进程在国产的很多防火墙里面默认规则是运行通过的,也就是说直接实现穿墙,能做到防
火墙不拦截。而且不影响系统的正常运行。
最后使用vbs命令构造一个正常的用户操作,将进程结束...删除文件...复制木马...运行木马.....
使用winrar自解压方式,将VBS和木马文件进行捆绑,木马文件释放到d盘,然后使用vbs命令将木马复制到system32目录下。如果释放到c盘,在复制到system32下,微点可能会报警。
总结技术要点:
这个方法主要是构造一个用户正常的操作,但是要注意,使用VBS命令,进行每一步的操作要进行三秒钟的延迟,这样等于把这一系列操作进行了分解步骤,让命令运行后,停一停,在执行下一步的操作。然后从d盘把灰鸽子木马复制到
system32下在用vbs命令运行即可。这样系统在从新启动,后原来的木马文件会被当作是系统文件,跟着系统直接启动起来。木马本身不会启动,等于是替换了一个服务将木马启动。心心点点的说了许多,就此停笔睡觉。
此文章是由北京天鹰网安公司--1号客服-天鹰姐姐在07年23日夜晚绅博论坛首发,转帖请著名出处,谢谢您的合作。
[b][color=#ff0000][size=2]注明:不想说太多,文中有些纰漏,您在测试过程中遇到的问题,就是我不想写的地方,请自己解决,呵呵。[/size] [/color] [/b][/font][/b]
[[i] 本帖最后由 polly5771 于 2008-7-27 07:03 编辑 [/i]] 转的比我快哦
气死我啦···
这个文章写的还算可以 hao198411同学。毕竟这是天鹰跟我打赌的。 技术含量蛮高,我不太看得懂 微点允许删除替换系统文件吗? 北京天鹰网安公司
[:32:] [:32:] [:32:] 好像听说过这家公司的。。。。。。。。。 技术含量不算高,但思路非常高! 几乎来说 想过微点 一种可行方法就是模拟成用户正常操作 这是主动防御面临的又一大问题啊,看这文章的主动防御好像是个瞎子一样 [quote]原帖由 [i]hzc43[/i] 于 2008-7-26 23:19 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4247711&ptid=293013][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
微点允许删除替换系统文件吗? [/quote]
同问 [color=purple]传统互联网防火墙不会单纯以绝对路径和文件名作为白名单依据 楼主让看了的人都回帖,那就回吧。可回啥呀[:02:]
希望有更多的人也来找卡巴2009的bug[:05:] [color=purple]要实现自启动其实也挺方便的...
最简单的做法就是加自己到 startup
这是个很正常的做法 普通用户也几乎不会去查看
最多每次启动后删除在 startup/RunOnce 的 link
并且做个关机任务 把 link 再添加回 startup/RunOnce 里
这样更不易察觉 而这些也都是正常操作并且时间跨度可以做的很大...
回复 5楼 hzc43 的帖子
替换系统文件会报警[:21:] [:32:]回复 8楼 spicalhook 的帖子
恩 差不多就是这个意思 尽力减少自己的动作我仔细分析了这两天微点测试漏杀的病毒 发现真正意义上能过微点的就是今天的1-6 有兴趣的可以研究下 很好的样本 就是兼容性差了点 只能运行在XPsp3中
[[i] 本帖最后由 killerwhale 于 2008-7-27 00:52 编辑 [/i]] 所以说特征码是永远不能放弃的。 标题太拉风了,哈哈,与王者的较量?王者?哈哈 病毒不发作那还叫病毒吗 ,就好像一个坏人不做坏事一样 ,行为上是好人,你心里就是有犯罪动机,微点也不会杀你。这是主动防御的精华,类似的文章见过不少 ,还是不能侵害系统。 精華在于白名單[:14:] 楼主要求回帖就回吧。
删除system32 内的文件、创建新的文件在一般的HIPS 中都是不允许的,如果规则中同时禁止创建新的VBS文件,这样用户同时装上有3D保护的HIPS ,LZ 所做的一切岂不是完全行不通。
TF 似乎也能定制文件保护规则吧?有了系统文件保护规则,用删除系统文件及更名的方法就失效了。
SSM 虽然没有文件保护,但常用的程序会列入允许,不常用的进程或敏感的进程一般会询问或禁止运行,企图用VBS 调用wscript.exe,SSM也能查觉并禁止。
不知在这种情况下还能用什么其它办法过点。