微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【北京天鹰网安】与王者的较量---再次轻松绕过微点主动防御  

 16  1/2  1  2  > 
作者:
标题: 【北京天鹰网安】与王者的较量---再次轻松绕过微点主动防御
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  【北京天鹰网安】与王者的较量---再次轻松绕过微点主动防御


黑客防线 在攻与防的对立统一中寻求突破!


skeagle
超级版主
等级: 黑客防线技术团队
发贴: 1 贴
积分: 31 分   
注册: 2008-07-24

[分享]与王者的较量---再次轻松绕过微点主动防御



特别说明:此文可能很多地方存在一些技术上的遗漏和不足,有哪里说的不对的地方请各位朋友指点,互相学习交流,没有任何企图和目的。很多地方我讲的不是很专业,只代表个人的一点看法,希望各位牛人不要笑话我,谢谢您的合作给大家说了说思路,不要跟我要测试样本,感兴趣的朋友可以自己按照文章中的思路去揣摩研究,文章中有一个技术点点我省略了,但是对整体思路印象一点也不影响,

近四个月来,在论坛上没有看到有人发表“过微点主动防御的文章,四个月前,而且这四个月来,微点主动防御变化也很大,防护规则更严谨了,而且误报率也大大提升了
,原来的微点,误报率很让人头疼,而现在,微点的误报率很低,即使有误报,并且微点错误的将你文件删除后,也会自动恢复过来。

   前不久点饭网的技术总监绅博论坛的站长这两位我的好朋友,与我联系,希望和我共同研究一番微点现在的查杀机制,找一找微点的缺陷,再次突破微点。俗话说得好,道高一尺,魔高一丈,在黑与白的较量中,寻求技术的突破。今天我就来挑战自己,绕过微点的主动防御 。

     这次我们使用灰鸽子来突破微点主动防御,但是有几点要注意 ,现在主流的木马都是通过插入ie进程,或者是svchost.exe这个进程进行穿透防火墙,而且现在主流木马都是通过hook自身,实现隐藏进程,也就是说,你使用任务管理器。     查看木马的进程是看不到的,除非使用专业的病毒防护软件进行查看才能看得到有木马进程,“冰刃”是一款内核级系统安全辅助查找器,一但我们中了类似的木马病毒后,我们使用冰刃来查看自己计算机上的进程,就会发现,有一个或者多个进程显示为红色,这里要注意,显示为红色的进程就是极有可能是木马病毒的进程,冰刃里面显示为红色的进程名称就是被hook的进程,也就是隐藏进程。

微点查杀木马的几个绝招:
   
1.正常用户使用的程序,绝对不会hook自身,实现隐藏进程,而隐藏进程的必然是木马病毒。
2.正常用户使用的程序,绝对不会插入其它进程,尤其是ie浏览器和svchost.exe,这两个进程,一旦插入进程进行访问网络的程序必然是木马病毒。

要现说一说主流木马运过程:

1.双击木马运行。
2.木马会以隐藏窗口形式进行运行。
3.向C盘下的,windows 或system或system32.等等,系统关键的几个文件夹释放木马的文件。
4.注册服务,修改服务,或者修改注册表添加启动项,好让程序从新启动后能够再次运行。
5.插入ie浏览器进程和hook自身隐藏进程,外连网络。

     微点查杀木马就是依靠以上的几点规则来判断,你运行的程序是不是木马,然后进行拦截。
     只要木马不具备这几点特征,自然微点也就不会拦截。我的思路就是构造正常用户的操作,这样微点就不会报警木马。
实现思路:
1.不隐藏进程
2.不插入进程外连网络
3,不修改注册表
4.不创建服务来实现启动

下面我们来开始构造用户正常的操作:
1.打开任务管理器。
2.结束alg.exe这个进程。
3.打开system32这个目录将alg.exe删除。
4.打开system32这个目录将系统自带的alg备份文件删除。(防止系统自修复alg.exe)
4.将木马文件改名alg.exe并且复制到system32。
5.然后运行alg.exe
6.就这么简单简单突破微点。


这里要注意两点。
1.如果通过dos命令结束alg.exe,接着马上就删除文件的话,微点会马上报警可疑程序,并且会自动上传样本。
2.配置灰鸽子时候需要修改一些关键点,
(1)不注册服务
(2)不修改注册表
(3)不插入进程
(4)不隐藏进程
(5)木马的释放路径是绝对路径,路径必须是C:\windows\system32\alg.exe这个进程。

如图:

为什么要替换alg这个服务呢,原因是alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个进程在国产的很多防火墙里面默认规则是运行通过的,也就是说直接实现穿墙,能做到防
火墙不拦截。而且不影响系统的正常运行。
最后使用vbs命令构造一个正常的用户操作,将进程结束...删除文件...复制木马...运行木马.....
使用winrar自解压方式,将VBS和木马文件进行捆绑,木马文件释放到d盘,然后使用vbs命令将木马复制到system32目录下。如果释放到c盘,在复制到system32下,微点可能会报警。
总结技术要点:

这个方法主要是构造一个用户正常的操作,但是要注意,使用VBS命令,进行每一步的操作要进行三秒钟的延迟,这样等于把这一系列操作进行了分解步骤,让命令运行后,停一停,在执行下一步的操作。然后从d盘把灰鸽子木马复制到
system32下在用vbs命令运行即可。这样系统在从新启动,后原来的木马文件会被当作是系统文件,跟着系统直接启动起来。木马本身不会启动,等于是替换了一个服务将木马启动。心心点点的说了许多,就此停笔睡觉。

此文章是由北京天鹰网安公司--1号客服-天鹰姐姐在07年23日夜晚,转帖请著名出处,谢谢您的合作。
看图:   

[ Last edited by 点饭的百度空间 on 2008-7-28 at 18:00 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-7-27 16:27
查看资料  发送邮件  访问主页  发短消息   编辑帖子
梦幻家园
注册用户





积分 136
发帖 136
注册 2006-6-3
#2  

07年23日晚  ???

※ ※ ※ 本文纯属【梦幻家园】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

本人不学无数,只会呱呱乱叫!
2008-7-28 02:32
查看资料  发短消息   编辑帖子
stht1986
银牌会员




积分 2114
发帖 2108
注册 2008-7-5
#3  

绕过微点的又不是没有!

不值得大惊小怪的

※ ※ ※ 本文纯属【stht1986】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

破解无罪 盗版有理
2008-7-28 08:50
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#4  

据我所知,去删除系统的文件微点会报警关键系统文件的!不知道作者这块怎么绕的!说说不代表什么,主要看样本。

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2008-7-28 11:22
查看资料  发送邮件  发短消息   编辑帖子
shaowenhua
新手上路





积分 16
发帖 16
注册 2007-6-21
#5  

说实话,看了半天,不是很明白!!

※ ※ ※ 本文纯属【shaowenhua】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-28 16:15
查看资料  发送邮件  发短消息  QQ   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#6  

别被"天鹰姐姐"唬了,最关键的东西,他没说.

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-28 17:55
查看资料  访问主页  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#7  

不严谨 她写错日期了 应该是08年
   

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-7-28 17:59
查看资料  发送邮件  访问主页  发短消息   编辑帖子
taiwansee
新手上路





积分 43
发帖 43
注册 2007-4-2
来自 福建福州
#8  

汗。。。skeagle的方法据本人分析存在一个很关键的可疑点,先列出楼主的主要思路:

下面我们来开始构造用户正常的操作:
1.打开任务管理器。
2.结束alg.exe这个进程。
3.打开system32这个目录将alg.exe删除。
4.打开system32这个目录将系统自带的alg备份文件删除。(防止系统自修复alg.exe)
4.将木马文件改名alg.exe并且复制到system32。
5.然后运行alg.exe
6.就这么简单简单突破微点。 ”

疑点:
    skeagle测试的操作系统应该不是 正版+默认安装 ,因为:
    在WINXP SP2 中:
skeagle的步骤3和步骤4顺序错误,按照skeagle的先3再4的步骤系统是会很及时地从dllcache复制回alg.exe 的。因此skeagle的3、4做法完成后系统的情况是:system32下存在alg.exe,dllcache下不存在alg.exe.
    (如果楼主硬要这么做的话,应该是3、4两个步骤对调。不过新的问题又会出现哦。。。什么问题?系统文件丢失的方框啊。。)
    在WINXP SP3 中:
    skeagle的 步骤3和步骤4根本无效,也就是不能删除alg.exe或者替换alg.exe.有sp3的计算机会从SP3的解压缩路径中重新复制一个alg.exe回来。

本人的测试环境:
WINXP PRO OEM SP3 +VMWARE
WINXP PRO OEM SP2 +VMWARE

[ Last edited by taiwansee on 2008-7-29 at 09:52 ]

※ ※ ※ 本文纯属【taiwansee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 09:48
查看资料  发短消息   编辑帖子
帅的按不住
新手上路




积分 39
发帖 39
注册 2008-5-29
#9  

这里要注意两点。
1.如果通过dos命令结束alg.exe,接着马上就删除文件的话,微点会马上报警可疑程序,并且会自动上传样本。
2.配置灰鸽子时候需要修改一些关键点,
(1)不注册服务
(2)不修改注册表
(3)不插入进程
(4)不隐藏进程
(5)木马的释放路径是绝对路径,路径必须是C:\windows\system32\alg.exe这个进程。



那这个鸽子基本是个摆设,
而且懂点电脑的人,一看就明白,
这鸽子存活不几天 ,
马上在进程里查到这个文件,
马上给你删除,

※ ※ ※ 本文纯属【帅的按不住】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 12:22
查看资料  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#10  

哎,一切要靠样本说话!!!

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-3-21 20:37
查看资料  发送邮件  发短消息  QQ   编辑帖子
 16  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号