|
冰盾主动防御采用静态AI检测+动态主动防御的双引擎架构,深度融合机器学习与大模型技术,构建了针对银狐(SilverFox)等新型病毒的全生命周期防护体系,实现从文件落地到恶意行为执行的全流程拦截。 在静态AI检测阶段,冰盾采用前沿的机器学习技术,依托大规模预训练模型,构建了高精度、自适应的新型病毒检测系统。通过分析海量病毒样本特征与行为模式,其AI引擎能够动态学习恶意代码的演化规律,尤其擅长检测银狐(SilverFox)等新型变种病毒。 在动态主动防御阶段,冰盾通过内核级行为监控引擎,实时检测并智能分析病毒的恶意操作链(如注册表/服务持久化、计划任务创建、文件隐藏、白加黑DLL劫持等),基于行为威胁评分模型实现毫秒级同步拦截,有效阻断病毒入侵、横向移动和数据窃取等攻击行为。 实战效果针对最新捕获的两款银狐病毒变种样本: 冰盾对其进行了深度分析与实战拦截测试,验证了其防御体系的有效性。
银狐病毒及其释放文件的静态扫描结果 银狐进程执行过程的拦截效果 启动病毒后,发现其首先会将一些关键的目录加入到微软杀毒的排除项,避免被微软杀毒扫描到。 添加杀毒排除项是很多病毒都会触发的动作,很多时候是通过wmic或者PowerShell等Rpc调用过去设置,冰盾可以发起溯源,精准识别到发起设置的进程。 然后会释放文件到文档目录,并且设置成隐藏属性。 接着创建计划任务,实现持久化攻击。 在进程被计划任务启动后,冰盾可以识别其用了白加黑的攻击技术。 启动后,为了绕过应用层的Hook,还会重新加载ntdll,用新的ntdll去执行敏感操作,避免被杀毒软件监控到。 接着,会创建服务,利用BYOBD驱动去结束安全软件。 同时,还会创建计划任务,利用reg去添加杀毒排除项。 然后创建Program Files下面的隐藏进程 这个进程会去修改系统的hosts文件,屏蔽掉360的域名 127.0.0.1 weishi.360.cn 127.0.0.1 sd.360.cn 同时,还利用系统的屏幕保护程序配置实现持久化。
| 
发表于 2025-8-12 12:29:14