A Responsible Blog

Every Friday A New Article

火绒高级防护反攻击规则

                       

一、设计目的

检测,阻止,拦截各类恶意软件的攻击载体,攻击方法,攻击途径和攻击目标,典型的如Fileless Attacks, Exploits等。

二、规则内容

OFFICE漏洞利用 – 拦截针对对常规办公软件的漏洞攻击(目前支持MS,WPS)
OFFICE可疑操作 – 拦截常规办公软件的一些异常/敏感操作,如使用CMD,PS的木马下载行为
疑似木马行为 – 拦截程序恶意操作
疑似勒索行为 – 拦截特定位置的程序在特定位置创建特定双后缀文件 (遇弹窗请选择结束进程)
疑似注入/劫持行为 – 拦截恶意程序劫持/注入/利用特定系统程序
隐私窃取行为 – 拦截使用特定程序 盗取用户信息/盗号 等恶意操作
系统安全机制绕过 – 拦截通过篡改系统设置或使用特殊方式提权绕过系统安全机制
反虚拟机/对抗分析 – 检测程序通过嗅探虚拟机环境以逃避侦测
可疑CMD操作 – 阻止CMD的一些敏感操作(如直接运行TEMP下的文件;在用户目录下创建可疑文件)
可疑PowerShell操作 – 阻止PS的一些敏感操作(同上)
可疑脚本操作 – 阻止脚本解释器的一些敏感操作(同上,更加严格)
可疑任务计划程序操作 – 阻止任务计划程序一些敏感操作(如使用非常规方式添加任务计划项)
可疑DLL加载 – 阻止特定目录加载可疑 DLL
可疑JAVA应用操作 – 阻止Java程序的可疑操作(针对adwin后门系列)
其他可疑操作 – 阻止系统进程的敏感操作

三、规则特点

对于普通用户来说,日常使用不会出现任何弹窗;若遇弹窗请仔细查看弹窗内容,不认识/不是自行操作/安装软件 请立即阻止
不依赖自动处理,不依赖全局规则,对电脑性能影响最小化

四、注意事项

1、遇到弹窗尽量不要记住操作,否则规则就无效了;
2、遇到弹窗选择“结束进程”会比“阻止”更有效拦截攻击行为。
3、暂未测试是否与其他规则有冲突的情况,不建议与其他同类型规则搭配使用。
4、AntiAttack 规则导入入口为自定义防护Auto 导入入口为自动处理

五、下载地址

云盘下载

六、相关截图

《火绒高级防护反攻击规则》
《火绒高级防护反攻击规则》
《火绒高级防护反攻击规则》
《火绒高级防护反攻击规则》
《火绒高级防护反攻击规则》
《火绒高级防护反攻击规则》

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注