樣本分析 － 農民幣誘拐

玩Facebook一段時間了，它裡面有個Flash Game叫做開心農場
初期給你六塊田去耕種，如果要繼續擴張，那你必須花錢購買農民幣
如果不想花錢，有的時候會有一些免費送農民幣的活動
這些活動通常都是真的，但有的時候也有假的
可能是要求你安裝一些有的沒有的東西
有的可能騙說送你農民幣，但其實是利益交換
騙人花招很多，就是看準了人的"貪念"



進入這個頁面，我們找Free類別的
然後可以看到如圖中的畫面，我照著說明
下載了那個所謂通訊軟體的客戶端
如果你沒有Facebook帳號那點我進入




因為這個東西看起來就覺得非常可疑
而且它還要求你一直開啟它
跟你的其它通訊軟體
基於常理判斷，應該不是什麼好東西




在它的安裝過程中就有不少惡意行為
還不隱避，才一開始就出現了惡意行為



直接修改IE記憶體



開始一連串的Downloader行為









這行為或許合法，但重點是接下來



又繼續下載了



對系統做了不少修改



生成*.tmp檔，並在windir下生成






開始生成ocx檔









繼續修改註冊表





















繼續修改explorer.exe記憶體內容






IE居然開始自動要求聯網



行回實在太可疑了，這回D+也報啟發了




安裝完後，發現了一個叫做Power Cleaner的東西
我沒有執行它，它自己就莫名其妙的出現在我的眼前




看起來它找到了一大堆需要修復或清理的對象



可是當你要進行清理時，它就要你花錢了



IE由svchost.exe開啟，再明顯不過的怪異行為




IE的連線，IE沒有視窗，除非打開工作管理員
否則你不會發現IE在背後偷偷工作



該樣本從它被執行的那一刻開始，就一直不停的聯網
下載了很多東西，其中不少還是合法的軟體
像是Yahoo toobar之類的工具，我沒有檢查這些工具是否被加料
但是數位簽章相當完好，或許是用合法掩護非法的手段

過程中CIS大約有100次左右的彈框，我僅擷取部分
大部分的聯網提示我都捨棄，只保留能夠解釋部份行為的提示
其中svchost.exe因為規則的關係，還有我放行explorer.exe被修改
所以CIS被沒有提示將要被執行IE

除了這個樣本外，FaceBook上還有更多類似的東西
所以玩Facebook想要免費取得農民幣
應該找不需要下載或安裝的
對你的隱私或個人財產才會比較有保障！ (繼續閱讀...)

我發現了一個CIS 3.10的弱點

今天原本是想寫點關於漏洞攻擊的文章
想比較一下沒有Anti BO的KIS 2010跟CIS 3.10
在同一個樣本上的表現，但測試的過程中
我無意間發現一個可以過CIS 3.10的方法
雖然目前沒有樣本，但此方法經過試驗確實可行



我之前曾經寫過一篇關於不要用Adobe Reader的文章
主要原因在於Reader太不安全了，經常被安全研究人員發現高危漏洞
很多針對Reader而生的特製PDF就此大規模攻擊Adobe用戶

因為Adobe實在太不安全的緣故，所以F-Secure才跳出來
向大家呼籲請不要再用Adobe Reader的PDF的客戶端
改用其它PDF客戶端，以確保自己機器的安全！


我手上有一個PDF樣本，測試對象為Adobe Reader 8.0
使用CIS 3.10與KIS 2010(Ver.9.0.0.463)


首先我要說明，這個樣本CIS可以藉由Memory Firewall攔截




但是，CIS跟這世上所有的防毒軟體一樣
無法100%攔截，或多或少總還是會有一些落網之魚
我們從CIS的Release Note中就可以看出來
CIS一直在增加Anti BO能夠阻擋的類型

首先我先假設CIS無法攔截這個樣本的BO行為
也就是跳過CIS所攔截的這個畫面
然後我們先來看一下KIS 2010的攔截情形


提示聯網




允許後就下載了這個叫做update.exe的程式




在system32下創建servises.exe






行為實在太可疑了，KIS 2010發出高危警告





KIS 2010沒有Anti BO，但是它的HIPS還不錯
最後依然成功攔截，再來我們來看CIS 3.10的情況









看到這裡或許有人覺得奇怪
CIS 3.10不是攔截了嗎？
確實CIS 3.10在這個樣本上是攔截了
這裡應該有人發現到什麼了吧？

沒錯CIS在這裡居然沒有彈出聯網要求
我一開始的測試是在Custon policy mode與Safe mode下
在這兩個模式下CIS用起來很正常，你認為應該提示的它都會提示
CIS 3.10這裡的問題其實是出在廠商白名單裡




COMODO為了讓CIS能夠更易用
他們傚法其他廠商一樣也引入了大批白名單
不過這份白名單並沒有像KIS這般包含行為黑白名單
我依據直覺，把Adobe從白名單裡面刪除
再執行樣本一遍，就出現了前面那些CIS的彈框

如果沒將廠商名單刪除，那CIS只會出現FD的攔截提示
然後我將自己的CIS設定退回COMODO官方所推薦的
Safe mode與Clean PC mode這兩兼顧安全與易用的防護層級
再恢復原本已經刪除的Adobe廠商白名單

來模擬看看一般人遇到這個樣本後會發生的情形
這個樣本比較不好的地方是它會在%windir%下生成
所以CIS 3.10會提示，但是在聯網的部分完全沒有彈框
打開CIS 3.10檢查正在連線中的程式，樣本一直保持在聯網的狀態




如果未來有人寫出不牴觸CIS預設規則的樣本
然後利用廠商白名單，在某種程度上應該是可以在不誘發彈框
的情況下，成功對機器造成一些破壞

很可惜CIS 3.10在這個樣本上表現讓人失望
只要程式的製造商是CIS內的廠商白名單
那它就可以得到CIS為它開的"特殊執行權限"

我們再回頭來看KIS 2010
同樣的情形在KIS 2010上就好的多了
雖然KIS在聯網的時候同樣會被過(前面截圖是在手動模式下)
但KIS複雜的智能模式，把這類型樣本對系統的傷害降到了最小
在KIS 2010上，因為承襲聊好的智能判斷方式
就算你把樣本丟到"信任群組"內，KIS照樣會彈出警告框
而不會像CIS 3.10這樣門戶大開


雖然這個弱點的利用率應該不高
如果落到有心人士手上，或許真的可以過CIS也不一定！ (繼續閱讀...)

究竟該不該用VirusTotal？

相信很多人一定都用過VirusTotal這個線上掃瞄工具
如果沒用過，也或多或少會在分享論壇看到有人引用VT的掃瞄結果
今天我們要來討論一下VT這種線上掃瞄服務究竟如何幫助使用者分辨病毒



當我們丟一個檔案到VT上後，會經過40家公司的引擎掃瞄
然後陸陸續續丟出掃瞄後的結果，然後VT會再丟個偵測率結果出來



大部分人很少會去質疑VT的結果，並認為如果被報的數量相當可觀
大概十之八九絕對不會是什麼好東西！

但是大部分人從來沒有想過以下問題，如果40家引擎都沒有報
難道就代表樣本百分之百絕對不會對系統造成傷害嗎？
反之，如果很多家公司的引擎報，就代表一定存在威脅？
有用過防毒軟體的人或多或少應該知道，防毒軟體有細部的選項作為設定
問題是大部分人均不知道也沒有想過VT上的引擎究竟是如何設定！

針對這些問題，可以分好幾個部分討論
首先VT上的引擎均來自各家不同的公司
這些公司的技術程度均不同，緝毒引擎有好有壞
每家公司對威脅的策略也都不盡相同

基本上各個引擎之間量級已經明顯不一樣了
放在一起掃瞄然後作偵測率百分比
已經很明顯存在一個誤導的空間在！


再來引擎的設定問題，VT上的引擎通常都與我們使用的版本會不太一樣
例如Kaspersky直接開啟偵測no-virus等的風險軟體
而Panda直接開啟最高啟發，最高啟發在個人版是不啟用的
時間久了，有人就開始以為Kaspersky跟Panda都有很高的誤報

由於每家公司對威脅的策略都不同，像有些引擎是直接見殼就報
有些則表現比較成重穩定，例如AntiVir、Avast、BitDefender、CAT-QuickHeal、F-Prot
這些都是比較喜歡報殼的AV，而像Kaspersky、McAfee、NOD32、Panda、Symantec
相形之下這些都是比較保守的AV，它們不會無故報殼，品質與技術上均具有一定的實力！


今天收到朋友的求救，說他好像中毒
隨既傳來了一個樣本，希望我幫他分析一下
這個樣本看名稱應該是一個"續號產生器"
執行後確實是一個"續號產生器"，接下來我就開始分析了他的行為
不分析還好，一分析怪我就開始疑惑了．．
因為這樣本並沒有危險行為，或者其它特殊行為會觸發HIPS
我根據這樣本破解的對象，上網找了這個軟體測試
用它產生的續號也確實能夠使用！



所以我直接排除了樣本是病毒的可能
我把這個結果告訴我朋友後，他仍然堅持這樣本事病毒
沒多久後他就傳了VT的掃瞄結果給我



我告訴他，VT的結果不能盡信，並把箇中原由告訴了他
他才曉得他長時間依賴的VT原來是這麼一回事！
我自己平常不用VT，我也建議沒能力自己分析樣本的網友
對於可疑的樣本應該交由專門的公司分析，而不是一股腦的全都往VT上丟 (繼續閱讀...)

COMODO規則補強 － 裝置變更操作

嚴格來說這不算是一個惡意威脅
因為它只是單純把系統碟以外的磁碟代號給抹去
使用者只需要自行掛上磁碟代號，這樣消失的分區又可以用了
只是我想這種玩笑很容易騙到某些人，導致最後用格式化解決．．



這個行為正式版的CIS 3.8預設規則是無法攔的
就算把防護等級拉到偏執模式也無法攔截
因為COMODO預設不監控這個部分


這裡我使用EQSecure 4.1Plus，從空白規則裡新建一條全域規則

*.exe

將全域規則中所有的監控項目打開，然後執行此樣本




從提示的訊息中我們知道，這行為不是一般常見的"底層磁碟存取"
如果只是底層磁碟存取，COMODO正常情況下是會提示的
因為這行為遠比"變更磁碟代號"來的危險多了
如果沒攔，很可能就直接格式化了！


我們根據EQ給我們的訊息，也在COMODO中添加此一規則

\Device\MountPointManager

最後再執行一次，看看有什麼結果




嗯．．終於出現提示了，阻止之後磁碟代號也沒有消失
不過同樣的規則在CIS 3.9 beta中是無效的，我想可能是FD bug導致的關係
當然手上也有CIS 3.9 beta的人也可以幫我測試一下
看看到底是我的問題還是bug所導致的關係


最後我把類行為的樣本規類到joke app（玩笑程式）
不過這種玩笑程式玩笑開的太大，也很不好笑
大部分人會直覺的以為磁碟分區真的被格式化了！
所以建議用COMODO的人最好是加上這一條規則！ (繼續閱讀...)