火绒安全软件

标题: [HR6.0]Luminescence(BETA) - 阻断流行性样本的攻击行为 [打印本页]

作者: Fox-F 时间: 2024-8-5 22:19
标题: [HR6.0]Luminescence(BETA) - 阻断流行性样本的攻击行为
本帖最后由 Fox-F 于 2024-8-15 22:14 编辑

通过对银狐，FakeAPP等流行性样本的行为进行分析并总结的规则，旨在阻断相关威胁的行为链。

本规则需要配合火绒原生规则使用（部分样本的持久化方式在调整火绒配置后可以防御）：

手动打开防护中心 -> 系统防护 -> 系统加固 -> 文件防护中的以下防护选项：
[attach]119027[/attach]

手动打开防护中心 -> 系统防护 -> 系统加固 -> 注册表防护中的以下防护选项：
[attach]119029[/attach]

[attach]119030[/attach]

手动打开防护中心 -> 系统防护 -> 系统加固 -> 敏感动作防护中的以下防护选项：

[attach]119031[/attach]

[attach]119032[/attach]

BETA0.0.6更新内容（2024.8.15）：
新增规则：[Medium]SusMal.CurlDownload.A：拦截由Curl.exe发起的ps脚本下载行为
新增规则：[High]Mal.PythonLoad.B：拦截由python.exe发起的对*Program Files (x86)\python38\*.jar*的读取行为（取自某流行性样本）
新增规则：[Medium]SusMal.PythonLoad.C：拦截由python.exe发起的对C:\Users\Public 目录下文件的执行行为
新增规则：[High]Mal.Behavior.Gen!B：某个流行性家族样本的行为
新增规则：[High]Mal.DisableUAC.B：拦截某组关闭UAC的行为
新增规则：[High]MicrosoftDefender.ExChange.B：对MicrosoftDefender.ExChange.A的加固，防止microsoftdefender的排除目录被修改

BETA0.0.5更新内容（2024.8.10）：
新增规则：[High]Mal.DisableUAC.A：拦截由msiexec.exe发起的关闭UAC的行为
新增规则：[High]Mal.Behavior.Gen!A：某个流行性家族样本的行为
新增规则：[High]Mal.FakeSysProcess.A：拦截非系统目录下运行的“系统文件”
新增规则：[High]Mal.AbnormalRun.A：拦截在C:\Users\Default目录下启动的进程
新增规则：[Medium]SusMal.DefEnvirChange.A：拦截尝试修改用户默认配置路径的文件
新增规则：[Medium]SusMal.AutoRun.AA：拦截temp目录下程序修改自启动的行为（启动目录）
新增规则：[Medium]SusMal.AutoRun.B：拦截C:\ProgramData目录下程序修改自启动的行为（启动目录）
新增规则：[Medium]SusMal.AutoRun.C：拦截C:\Users\Public目录下程序修改自启动的行为
新增规则：[Medium]SusMal.AbnormalSysRun.A：拦截异常参数的系统进程
新增规则：[Low]SusMal.MinCmdRun.A：拦截（记录）默认最小化运行的cmd.exe
新增规则：[TEST]SusMal.ProcessChain!Test：可疑的进程链（拦截由C:\Program Files\目录下文件拉起C:\Users\Public\目录下进程）
修复配置错误的规则：[High]MicrosoftDefender.ExChange.A（不知道哪个版本填错参数了）

BETA0.0.4更新内容（2024.8.8）：
修改规则：[High]MMC.ProcessRun.A：将C:\ProgramData\ 目录及以下分目录加入检测范围
添加规则：[Low]RunAsAdmin.A：拦截（记录）命令行中包含“RunAsAdmin”的程序
添加规则：[Medium]SusMal.ProcessChain.BA：可疑的进程链（由cmd.exe 进程拉起处于/ProgramData/目录下的powershell进程）
添加规则：[Medium]SusMal.ProcessChain.EA：可疑的进程链（拦截由powershell.exe拉起RegAsm.exe进程）
添加规则：[Medium]SusMal.FileProcess.A：拦截cmd.exe尝试以二进制方式拼接两个文件的行为（常见的静态免杀手段）
添加规则：[Medium]SusMal.AutoRun.A：拦截temp目录下程序修改自启动的行为

BETA0.0.3更新内容：
添加规则：[Medium]SusMal.ObfPowerShell.A：拦截某些可能的被混淆的powershell命令
添加规则：[Medium]SusMal.NetFileRun.A：运行来自网络服务器的文件
添加规则：[Medium]SusMal.ProcessChain.E：可疑的进程链（由powershell.exe进程拉起mshta.exe进程）
添加规则：[Medium]SusMal.ProcessChain.F：可疑的进程链（由more.com拉起来自temp目录下的文件）
添加规则：[Medium]SusMal.NetSC.A：读取文件来修改网络配置

BETA0.0.2更新内容：
修改了规则（[Low]SusMal.ProcessRun.A）的监控范围（取消了对下载文件夹的运行监控）
添加规则：[Medium]SusMal.SuspectCmdRun.A：拦截由temp目录下进程启动cmd进程
添加规则：[High]Mal.RatLoad.A：拦截某种已知远控的加载方式

BETA0.0.1规则内容：
[High]MalAutoRun.A：添加已知恶意的特殊后缀启动项
[High]MicrosoftDefender.ExChange.A：试图通过powershell.exe修改Microsoft Defender 的排除项
[High]MMC.ProcessRun.A：通过mmc.exe 启动特殊目录下的文件
[High]MSI.ProcessRun.A：通过msiexec.exe 启动特殊目录下的文件
[High]Powershell.NetLoad.A：通过powershell.exe 网络加载挂载在公开网站上的代码(如https://pst.innomi.net/)
[Medium]SusMal.AutoLoad.A：可能的系统特性利用（LOLBins）
[Medium]SusMal.ProcessChain.A：可疑的进程链（由svchost.exe 进程拉起C:\Program Files (x86)\Common Files下启动的进程）
[Medium]SusMal.ProcessChain.B：可疑的进程链（由cmd.exe 进程拉起explorer进程）
[Medium]SusMal.ProcessChain.C：可疑的进程链（由BitLockerToGo.exe 进程拉起powershell.exe进程）
[Medium]SusMal.ProcessChain.D：可疑的进程链（由OOBE-Maintenance.exe 进程拉起C:\Program Files\Windows Media Player下的文件）
[Medium]SusMal.ProcessChain.DA：可疑的进程链（由C:\Program Files\Windows Media Player下启动的进程拉起dllhost.exe进程）
[Medium]UACBypass.Generic.A：可能的UACBypass 尝试
[Low]SusMal.ProcessRun.A：启动特殊目录下的文件
[Low]SusMal.PythonLoad.A：通过python加载mp4后缀的文件

规则下载：

作者: johnming789 时间: 2024-8-6 18:27
谢谢楼主的分享!

作者: Fox-F 时间: 2024-8-6 19:06

johnming789 发表于 2024-8-6 18:27
谢谢楼主的分享!

直接下载最新版导入就好，多个版本的规则导入会出问题

另外有误报及时反馈，目前规则只是测试版本

作者: 守法懂法放到 时间: 2024-8-8 19:53

谢谢楼主的分享!

作者: 化悲痛为力量 时间: 2024-8-9 10:02
谢谢楼主分享！

作者: Davy2081 时间: 2024-8-9 10:25
感谢分享

作者: MLPLE 时间: 2024-8-9 20:59

谢谢楼主的分享!

作者: keykylewu 时间: 2024-8-9 21:24
支持！！！

作者: hxcqer 时间: 2024-8-10 07:38
感谢分享

作者: puxinqin 时间: 2024-8-10 09:50
试一下哈哈

作者: a560172@qq.com 时间: 2024-8-10 17:26
感谢大佬

作者: qimi 时间: 2024-8-10 23:24
感谢大佬分享

作者: Icetric 时间: 2024-8-11 08:09
谢谢分享！！！辛苦了！

作者: 191196846 时间: 2024-8-11 09:01
let me see see

作者: hxcqer 时间: 2024-8-11 09:31
感谢分享最新版

作者: 1015363774 时间: 2024-8-12 08:33
qwe41q5we4qw4eq4

作者: lformater 时间: 2024-8-12 13:08
学习收藏了，多谢分享

作者: qp161618441 时间: 2024-8-12 23:11
谢谢楼主分享

作者: woaimou 时间: 2024-8-14 12:53
666666666666666666666666

作者: 杨员外 时间: 2024-8-14 15:22
试试这个

作者: soledad 时间: 2024-8-15 16:04
这个是5.0吗

作者: caleche 时间: 2024-8-15 18:16

感谢分享

作者: Fox-F 时间: 2024-8-15 22:08

soledad 发表于 2024-8-15 16:04
这个是5.0吗

只支持6.0

作者: 逍遥16073 时间: 2024-8-15 22:36
lihaiadada

作者: bu497 时间: 2024-8-18 00:37
感谢分享

作者: Davy2081 时间: 2024-8-19 19:59
感谢分享！

作者: 槊夜人 时间: 2024-8-21 20:12
感谢楼主

作者: WenLin 时间: 2024-8-22 20:17
6666666666666666666

作者: xinfu小羊 时间: 2024-8-22 21:54

谢谢楼主的分享!

作者: oyolqq 时间: 2024-8-23 04:17
感谢楼主分享！

作者: a60041 时间: 2024-8-23 12:55
看看看看

作者: dai123798 时间: 2024-8-25 11:00
感谢大佬！

作者: hyx2230 时间: 2024-8-26 16:54
谢谢楼主分享

作者: xysalfe 时间: 2024-8-26 18:02
谢谢楼主的分享!

作者: AXZ115AXZ115AXZ 时间: 2024-8-27 18:54

谢谢楼主的分享!

作者: kekouxuebi 时间: 2024-8-28 14:20
谢谢楼主的分享!

作者: 镰禾 时间: 2024-9-1 13:45
6666666666

作者: Equinox 时间: 2024-9-6 14:48
感谢分享

作者: cat555 时间: 2024-9-7 18:09
感谢分享

作者: fenglankyo 时间: 2024-9-9 18:59
谢谢打鸡蛋的分享

作者: mxy980217 时间: 2024-9-13 01:21
测试看看

作者: 漫天星光 时间: 2024-9-13 08:51
有报错吗各位

作者: huzh1122 时间: 2024-9-15 21:57
这个好，可以跟踪可以跟踪可疑进程了。

作者: jilunbanshou 时间: 2024-9-16 09:50

作者: 愉悦的海绵猪猪 时间: 2024-9-16 17:20
14524545454545456

作者: reese86 时间: 2024-9-17 12:06
谢谢分享

作者: TYing 时间: 2024-9-20 10:17
感谢分享

作者: fanz8382 时间: 2024-9-23 15:18
这个不错拿走了从底层断安全一点

作者: DFK 时间: 2024-9-25 00:36
有阴人黑我黑我网络窥我屏幕怎么办

作者: DFK 时间: 2024-9-25 01:35
大学宿舍{不只宿舍}学院上都有{这年头有谁不吃瓜？}.有阴人阻击黑我电脑怎么办，现在有被控制火绒的情况，就是整个软件点击不动，没下微信qq，没登电脑账号，就只是平常联网看软件b站和edge上网做作业，IP{0.0.0.0}两分钟一次犯规期间还有不同的IP犯规，现在我写帖子估计也被全程窥视，有大佬帮帮忙支点招吗，我平常还需要用到adobe盗版软件就是一些盗版设计软件，但都是阴人阻击我估计不是软件的问题，有大佬帮帮忙支点招吗，影响我3年了现在快毕业了，那些人还阴魂不散，恶心至极
我多次刷机然后用了火绒论坛里的能找到的IP类及其他规则都没防住，我小白没法了属实
我自己发了个帖子求大佬帮助

作者: 不知道789 时间: 2024-10-12 19:53
感谢分享

作者: 雾散 时间: 2024-10-13 17:46

作者: huorong003 时间: 2024-10-14 09:40
感谢分享。。。。。。。。。。。。。。。。。。。。。。

作者: fulibo 时间: 2024-10-16 10:49
下载来试一试效果

作者: zc472092136 时间: 2024-10-16 14:47
感谢楼主分享

作者: 小猴子123 时间: 2024-10-17 19:09
感谢分享

作者: 南宫封风 时间: 2024-11-2 13:18
66666666666666

作者: byq888888 时间: 2024-11-4 12:42
感谢楼主。666

作者: ixcm 时间: 2024-11-5 13:15
谢谢楼主

作者: 细雨湿襟 时间: 2024-11-5 19:26
感谢楼主分享

作者: pab 时间: 2024-11-6 01:17

感谢楼主分享

作者: UmbraNox 时间: 2024-11-12 23:01
尝试一下

作者: 赵世哲 时间: 2024-11-15 14:26
谢谢楼主分享

作者: q1940649552 时间: 2024-11-17 14:11
谢谢分享！

作者: bjbcqy 时间: 2024-11-29 19:58

谢谢楼主的分享!

作者: shujie 时间: 2024-11-30 23:45
6666666666666

作者: 名无所谓 时间: 2024-12-4 00:11

感谢分享

作者: taifeng 时间: 2024-12-4 08:41
感谢分享！

作者: Loserc 时间: 2024-12-4 09:02
感谢大佬分享

作者: get358691874 时间: 2024-12-19 22:17
内容超赞！！！

作者: sxly030401 时间: 2024-12-19 22:32
感谢大佬的分享!!!!!

作者: limengan 时间: 2024-12-22 16:54
谢谢楼主

作者: SHY1205 时间: 2024-12-23 20:43
YYDS好棒！！！

作者: zzz123123 时间: 2024-12-24 08:50
感谢分享试试

作者: 38470247 时间: 2024-12-24 14:05
感谢分享

作者: monkey2023 时间: 2024-12-26 10:20
感谢大佬的分享

作者: zenws 时间: 2024-12-30 09:37
谢谢分享

作者: cunz215 时间: 2024-12-30 16:32
感谢分享！！！！

作者: McSylvanas 时间: 2024-12-30 21:44
试试效果

作者: 米老虎 时间: 2024-12-31 08:03
感谢分享~~

作者: pepperlight 时间: 2024-12-31 09:16
感谢分享！

作者: Tumbleweed 时间: 2025-1-5 22:18
看起来很靠谱

作者: 万相 时间: 2025-1-7 01:04
感谢分享

作者: tiktoshi 时间: 2025-1-7 07:39
感谢大佬分享

作者: zzttzhang 时间: 2025-1-7 19:39
谢谢楼主~

作者: opab8 时间: 2025-1-9 10:52
感谢分享！！

作者: hearsea 时间: 2025-2-16 17:47
感谢分享。

作者: gy197 时间: 2025-2-19 00:24
感谢分享，正需要

作者: fhwnxvcxjmgk 时间: 2025-2-19 10:19

谢谢楼主的分享

作者: fhwnxvcxjmgk 时间: 2025-2-19 10:21

谢谢楼主的分享..

作者: 陈志帅 时间: 2025-2-20 14:17
感谢分享

作者: TFY 时间: 2025-2-20 20:10
来了，前来支持。

插入空白字符以填充字数

作者: KFzZ 时间: 2025-2-26 14:00
感谢大佬

作者: aoszbvhv 时间: 2025-3-6 16:58
谢谢分享

作者: JeKo 时间: 2025-3-11 10:08
谢谢楼主的分享!

作者: lee29 时间: 前天 21:31
haoye~~~~~~~~~~~

作者: lanzelet 时间: 昨天 10:25
谢谢楼主的分享!

作者: 1400189000 时间: 昨天 13:18
非常感谢。

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)