|
|
本帖最后由 Fox-F 于 2024-8-15 22:14 编辑
通过对银狐,FakeAPP等流行性样本的行为进行分析并总结的规则,旨在阻断相关威胁的行为链。
本规则需要配合六合彩原生规则使用(部分样本的持久化方式在调整六合彩配置后可以防御):
手动打开防护中心 -> 系统防护 -> 系统加固 -> 文件防护中的以下防护选项:
手动打开防护中心 -> 系统防护 -> 系统加固 -> 注册表防护中的以下防护选项:
手动打开防护中心 -> 系统防护 -> 系统加固 -> 敏感动作防护中的以下防护选项:
BETA0.0.6更新内容(2024.8.15):
新增规则:[Medium]SusMal.CurlDownload.A:拦截由Curl.exe发起的ps脚本下载行为
新增规则:[High]Mal.PythonLoad.B:拦截由python.exe发起的对*Program Files (x86)\python38\*.jar*的读取行为(取自某流行性样本)
新增规则:[Medium]SusMal.PythonLoad.C:拦截由python.exe发起的对C:\Users\Public 目录下文件的执行行为
新增规则:[High]Mal.Behavior.Gen!B:某个流行性家族样本的行为
新增规则:[High]Mal.DisableUAC.B:拦截某组关闭UAC的行为
新增规则:[High]MicrosoftDefender.ExChange.B:对MicrosoftDefender.ExChange.A的加固,防止microsoftdefender的排除目录被修改
BETA0.0.5更新内容(2024.8.10):
新增规则:[High]Mal.DisableUAC.A:拦截由msiexec.exe发起的关闭UAC的行为
新增规则:[High]Mal.Behavior.Gen!A:某个流行性家族样本的行为
新增规则:[High]Mal.FakeSysProcess.A:拦截非系统目录下运行的“系统文件”
新增规则:[High]Mal.AbnormalRun.A:拦截在C:\Users\Default目录下启动的进程
新增规则:[Medium]SusMal.DefEnvirChange.A:拦截尝试修改用户默认配置路径的文件
新增规则:[Medium]SusMal.AutoRun.AA:拦截temp目录下程序修改自启动的行为(启动目录)
新增规则:[Medium]SusMal.AutoRun.B:拦截C:\ProgramData目录下程序修改自启动的行为(启动目录)
新增规则:[Medium]SusMal.AutoRun.C:拦截C:\Users\Public目录下程序修改自启动的行为
新增规则:[Medium]SusMal.AbnormalSysRun.A:拦截异常参数的系统进程
新增规则:[Low]SusMal.MinCmdRun.A:拦截(记录)默认最小化运行的cmd.exe
新增规则:[TEST]SusMal.ProcessChain!Test:可疑的进程链(拦截由C:\Program Files\目录下文件拉起C:\Users\Public\目录下进程)
修复配置错误的规则:[High]MicrosoftDefender.ExChange.A(不知道哪个版本填错参数了)
BETA0.0.4更新内容(2024.8.8):
修改规则:[High]MMC.ProcessRun.A:将C:\ProgramData\ 目录及以下分目录加入检测范围
添加规则:[Low]RunAsAdmin.A:拦截(记录)命令行中包含“RunAsAdmin”的程序
添加规则:[Medium]SusMal.ProcessChain.BA:可疑的进程链(由cmd.exe 进程拉起处于/ProgramData/目录下的powershell进程)
添加规则:[Medium]SusMal.ProcessChain.EA:可疑的进程链(拦截由powershell.exe拉起RegAsm.exe进程)
添加规则:[Medium]SusMal.FileProcess.A:拦截cmd.exe尝试以二进制方式拼接两个文件的行为(常见的静态免杀手段)
添加规则:[Medium]SusMal.AutoRun.A:拦截temp目录下程序修改自启动的行为
BETA0.0.3更新内容:
添加规则:[Medium]SusMal.ObfPowerShell.A:拦截某些可能的被混淆的powershell命令
添加规则:[Medium]SusMal.NetFileRun.A:运行来自网络服务器的文件
添加规则:[Medium]SusMal.ProcessChain.E:可疑的进程链(由powershell.exe进程拉起mshta.exe进程)
添加规则:[Medium]SusMal.ProcessChain.F:可疑的进程链(由more.com拉起来自temp目录下的文件)
添加规则:[Medium]SusMal.NetSC.A:读取文件来修改网络配置
BETA0.0.2更新内容:
修改了规则([Low]SusMal.ProcessRun.A)的监控范围(取消了对下载文件夹的运行监控)
添加规则:[Medium]SusMal.SuspectCmdRun.A:拦截由temp目录下进程启动cmd进程
添加规则:[High]Mal.RatLoad.A:拦截某种已知远控的加载方式
BETA0.0.1规则内容:
[High]MalAutoRun.A:添加已知恶意的特殊后缀启动项
[High]MicrosoftDefender.ExChange.A:试图通过powershell.exe修改Microsoft Defender 的排除项
[High]MMC.ProcessRun.A:通过mmc.exe 启动特殊目录下的文件
[High]MSI.ProcessRun.A:通过msiexec.exe 启动特殊目录下的文件
[High]Powershell.NetLoad.A:通过powershell.exe 网络加载挂载在公开网站上的代码(如https://pst.innomi.net/)
[Medium]SusMal.AutoLoad.A:可能的系统特性利用(LOLBins)
[Medium]SusMal.ProcessChain.A:可疑的进程链(由svchost.exe 进程拉起C:\Program Files (x86)\Common Files下启动的进程)
[Medium]SusMal.ProcessChain.B:可疑的进程链(由cmd.exe 进程拉起explorer进程)
[Medium]SusMal.ProcessChain.C:可疑的进程链(由BitLockerToGo.exe 进程拉起powershell.exe进程)
[Medium]SusMal.ProcessChain.D:可疑的进程链(由OOBE-Maintenance.exe 进程拉起C:\Program Files\Windows Media Player下的文件)
[Medium]SusMal.ProcessChain.DA:可疑的进程链(由C:\Program Files\Windows Media Player下启动的进程 拉起dllhost.exe进程)
[Medium]UACBypass.Generic.A:可能的UACBypass 尝试
[Low]SusMal.ProcessRun.A:启动特殊目录下的文件
[Low]SusMal.PythonLoad.A:通过python加载mp4后缀的文件
规则下载:
|
评分
-
查看全部评分
|
[复制链接]
收藏
