查看: 42334|回复: 95
收起左侧

[技术探讨] 【技术帖再次来袭】窥探AMP BM隐形的强大,BM技术是遥测+特征匹配[更新重磅内容]

  [复制链接]
驭龙
发表于 2015-10-18 18:26:04 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-10-21 15:22 编辑

先说一下,尽管AMP不断完善和进化,我还是不推荐不了解它的用户使用它,安全软件有不计其数,选择适合自己的很重要,没必要选择你不了解的基准线级别杀软AMP,这是我给大家的忠告,如果以后大家用AMP中毒,可不要怪我没有提醒你哦。

自从Microsoft Anti-Malware 三代,也就是MSE 2.0以后,MA添加了行为监控技术,从此MA开始有Behavior Signature了,到了MA 四代的4.X版本,微软承诺在Windows 8.X系上的WD拥有增强的行为监控,可时至今日,大家是不是没有见过多少Behavior Signature的报法出现在双击中?这是为什么呢?重磅内容在帖子最后部分,不要被上半部分迷惑哦。

接下来,我来告诉大家,为什么我们从没见过MA的Behavior报法过,这个需要先看之前的技术解读帖的动态签名服务的动态:
如果实时监控和扫描没有发现威胁的可疑代码,在威胁被双击运行以后,MSE的行为监控会继续监视文件的运行和内存行为,一旦发现存在可疑的行为,行为监控会链接到Microsoft云服务器,如果云服务器中有包含该可疑行为的动态签名服务特征,云服务器会把特征代码发给本地的MSE,获得特征代码的MSE会立即阻止威胁活动,同时删除该威胁,清理威胁的部分破坏。

这种动态签名服务的云技术,近似于云主防技术,但与云主防不同的是,MA的行为监控并不是直接阻止样本的行为,而是发动遥测技术的Behavior Monitoring Telemetry Technology,正因为这种不主动拦截Behavior特征,所以我们根本见不到MA行为监控的爆发,出现双击时出现Behavior报法,因为Behavior Monitoring Telemetry是MA的Sensor to Cloud,发动BMT以后向MA云服务器查询触发BMT的文件哈希,如果是未知的文件,MA会自动上传云端,等待云服务器的分析,如果是已经分析为威胁的样本,Microsoft Active Protection Service服务器会发送DSS特征到本地,MA将杀掉这个威胁。

这就是我们看不到MA Behavior Monitoring 报法的原因,光说不练非好汉,因此接下来我们来真正的体验一下MA Behavior Monitoring telemetry的魅力吧,我的测试环境有一点新,是Windows 10 10565 Insider 版本中的WD 4.9版,样本是昨天2015年10月17日的精睿包。

新系统无法安装增强工具包,无法把日志复制出来,我们看截图吧,扫描结束以后,开始双击样本,其中第24样本和第35样本触发各种 BMT哦,其中24号样本被自动反馈给服务器,看各种 Behavior Signature的大爆发,BMT开启疯狂遥测吧

第24样本的各种注入啊


BMT把24号自动反馈给服务器


第35样本的各种注入


Explorer已经被注入


哈,Dynamic Translation发威,Dynamic Heuristic截杀比特币敲诈者的进程


不知道那个样本的衍生物也被MA杀掉,不知是回滚还是什么,没有相关的日志和关于这个样本的进一步信息


再看一下动态启发行为分析干掉的比特币敲诈者的UI记录吧。


接下来就是BMT与MAPS联动时间,这里有一个样本的衍生物是svchost,昨天双击以后就关闭系统了,今天开机以后,!plock出现了,也就是动态签名服务杀,昨天的BMT发挥效果,得到MAPS的分析后反馈,发动DSS杀掉样本。

截图上部分的svchots衍生物


plock云杀,不但删除样本,启动项的注册值也被干掉了,这是修复?还是半吊子的回滚?不好确定啊


========================================================
现在更新中部内容,那就是BMT在实际使用中的出现概率,这也是很高的,其中很多是用户操作的,这是我这几个月断断续续使用WD时触发的行为监控遥测,其中大多数是人为操作,这要是拦截的话,就避免不了误报了。

每个类型的行为监控遥测,我只复制一次,并不是只出现一次哦
[mw_shl_code=css,true]BEGIN BM telemetry
GUID:{7971A0BA-65BA-C489-4264-0EC9A93759E9}
TelemetryName:Behavior:Win32/DroppedKnownMalware
SignatureID:41453017067075
ProcessID:2548
ProcessCreationTime:130884862266614472
SessionID:1
CreationTime:10-05-2015 10:37:16
ImagePath:C:\Program Files\7-Zip\7zG.exe
ImagePathHash:CFD6E7BF357E91ED919190EA0C8EC3BB12DC48B151ABC327A80A0A8F7B73FB73
TargetFileName:C:\Users\Win10\Downloads\645\645.exe
END BM telemetry

BEGIN BM telemetry
GUID:{3203803A-0E91-E2A8-BFB8-4368CDBCD593}
TelemetryName:Behavior:Win32/EtwTerminateTaskmgr.A
SignatureID:23862704599725
ProcessID:2344
ProcessCreationTime:130841565780066476
SessionID:0
CreationTime:08-16-2015 08:36:54
ImagePath:C:\Windows\explorer.exe
ImagePathHash:FE85B8EAB73987EEAFC673001AED000CDB2321F22C10F743D571DE888981707B
END BM telemetry

BEGIN BM telemetry
GUID:{71575569-1261-E0E1-18C1-3DBDC1694284}
TelemetryName:Behavior:Win32/EtwTerminateMsAVUI.A
SignatureID:41451222363076
ProcessID:540
ProcessCreationTime:0
SessionID:0
CreationTime:09-15-2015 12:25:23
ImagePath:C:\Windows\System32\csrss.exe
ImagePathHash:A7E2B4E8ED83CE19ED663759E65A6B7A330261FFDD4FD667D553767F352B04FD
END BM telemetry

BEGIN BM telemetry
GUID:{77FC5059-09D6-F89D-2DAD-78A0EFEC0C48}
TelemetryName:Behavior:Win32/EtwTerminateMRT.A
SignatureID:23858815868554
ProcessID:868
ProcessCreationTime:130867473390580308
SessionID:0
CreationTime:09-15-2015 12:25:31
ImagePath:C:\Windows\System32\svchost.exe
ImagePathHash:B4853F76DFE066A5B2AEB3166BAC4D6FF1548E9119205F65AC6CAB6D165F9850
END BM telemetry

BEGIN BM telemetry
GUID:{89C97B83-0CE3-5AE4-2CCE-62AF0BBBD923}
TelemetryName:Behavior:Win32/IExploreSpawnCalc.A
SignatureID:41453809535618
ProcessID:5352
ProcessCreationTime:130870951842382149
SessionID:1
CreationTime:09-19-2015 08:13:07
ImagePath:C:\Program Files\Internet Explorer\iexplore.exe
ImagePathHash:4905A13C6A0467A73426AB041A99680E8E7AE64FAEDFA4A3731028DC5DD4A2BE
TargetFileName:C:\Program Files\Internet Explorer\iexplore.exe
END BM telemetry

BEGIN BM telemetry
GUID:{F5589543-05D3-BD6B-D411-B30A41BA2461}
TelemetryName:Behavior:Win32/LatMove.A!dha
SignatureID:461466096118178
ProcessID:2584
ProcessCreationTime:130870953380445728
SessionID:1
CreationTime:09-19-2015 08:15:49
ImagePath:C:\Program Files\Internet Explorer\iexplore.exe
ImagePathHash:4905A13C6A0467A73426AB041A99680E8E7AE64FAEDFA4A3731028DC5DD4A2BE
TargetFileName:C:\Users\Win10\AppData\Local\Microsoft\Windows\INetCache\IE\4NWGUCSJ\dummy[1].dll
END BM telemetry

BEGIN BM telemetry
GUID:{E0CC7B0E-71FE-EA97-B6E3-090EB49A850E}
TelemetryName:Behavior:Win32/NonBrowserLinkClick.A
SignatureID:76635139478477
ProcessID:2896
ProcessCreationTime:130874442598438075
SessionID:1
CreationTime:09-23-2015 09:11:38
ImagePath:C:\Program Files\Tencent\QQ\Bin\QQ.exe
ImagePathHash:4FE7EF60CDCACEEE13879045552E779C23024B1E7387E679E3EDE63BA88BF565
END BM telemetry

BEGIN BM telemetry
GUID:{B7055969-6979-1A65-327B-EF12B14DEA56}
TelemetryName:Behavior:Win32/EdgeChildProc.A
SignatureID:50248637898039
ProcessID:7044
ProcessCreationTime:130894482098653682
SessionID:1
CreationTime:10-16-2015 13:50:10
ImagePath:C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdgeCP.exe
ImagePathHash:0D80ADE11044DEA738A3F4A8E5313542DE9F40F7A94C724CE817EAB1912EDFB0
TargetFileName:C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdgeCP.exe
END BM telemetry
[/mw_shl_code]
其中一次Behavior:Win32/LatMove.A!dha是一个真正的Exploit测试,可惜没有阻止,真的是有一点遗憾。

或许是因为我系统上安装HitmanPro.Alert,因为这家伙的注入浏览器,导致在Edge上传图片的时候,触发行为监控遥测,其中Flash播放器的行为都被遥测监视
[mw_shl_code=css,true]
BEGIN BM telemetry
GUID:{B2BDEC5C-D361-3286-9469-8DE13701F5CB}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:6044
ProcessCreationTime:130896932854900499
SessionID:1
CreationTime:10-19-2015 09:54:46
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{8FF83676-539D-253F-6EBD-5BE4604AB609}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:552
ProcessCreationTime:130896934744120511
SessionID:1
CreationTime:10-19-2015 09:57:55
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry

Begin Resource Scan
Scan ID:{53FDF3C5-C026-430F-B344-4B8854A4334A}
Scan Source:7
Start Time:10-19-2015 09:58:06
End Time:10-19-2015 09:58:06
Explicit resource to scan
Resource Schema:file
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg
Explicit resource to scan
Resource Schema:webfile
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg|http:// FlashUtil_ActiveX.exe
Result Count:1
Known File
Number of Resources:1
Resource Schema:file
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg:Zone.Identifier
Extended Info:35874746033117
End Scan
************************************************************


BEGIN BM telemetry
GUID:{FF4F2F5A-6BA9-A3FF-61EF-47F2FACC92D0}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3868
ProcessCreationTime:130896936924775402
SessionID:1
CreationTime:10-19-2015 10:01:33
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{ED2E06D5-A296-0536-2BC4-8C3C89728A5C}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:368
ProcessCreationTime:130896938493331388
SessionID:1
CreationTime:10-19-2015 10:04:10
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{79CDEEBF-B5A5-72E6-CC08-8D0ADC1A3F1B}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:4440
ProcessCreationTime:130896944640839629
SessionID:1
CreationTime:10-19-2015 10:14:25
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{4D11D723-8DB6-CA1C-1F1B-F02C24207217}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:4148
ProcessCreationTime:130896944779777711
SessionID:1
CreationTime:10-19-2015 10:14:39
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{151AABDD-4C47-C46D-2FC3-DCACAC7197A1}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:2376
ProcessCreationTime:130896945886652261
SessionID:1
CreationTime:10-19-2015 10:16:29
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{66F1C5C2-492F-9013-67B1-0671740B1310}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3916
ProcessCreationTime:130896950055617611
SessionID:1
CreationTime:10-19-2015 10:23:26
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{C13AF47B-25E4-9C61-05BB-B6BC178A3D17}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:788
ProcessCreationTime:130896951417675473
SessionID:1
CreationTime:10-19-2015 10:25:42
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{E0D3D32C-7C74-F406-4C99-CACEEB9A436E}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3916
ProcessCreationTime:130896957194354275
SessionID:1
CreationTime:10-19-2015 10:35:20
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{0B3F7179-9C3F-12EB-30B1-C10DFD0B099E}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:2996
ProcessCreationTime:130896957716752627
SessionID:1
CreationTime:10-19-2015 10:36:12
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{4DBF957B-EE0A-446D-B3D1-C64B115C89AE}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3832
ProcessCreationTime:130896957840047451
SessionID:1
CreationTime:10-19-2015 10:36:25
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{98296CFD-B1A2-E2FF-9491-C01AAC44DF2A}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:472
ProcessCreationTime:130896958058740522
SessionID:1
CreationTime:10-19-2015 10:36:47
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{7D639F10-3E23-F9D7-3271-8AA927B96455}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3864
ProcessCreationTime:130896958177081146
SessionID:1
CreationTime:10-19-2015 10:36:59
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry
[/mw_shl_code]
由此可见,如果MA的行为监控是默认阻止行为的话,那真的会影响用户的一些正常操作,这是与MA理念背道而驰的,所以行为监控默认没有阻止行为监控遥测的行为,而是结合强大的云运算,等待一段自动化分析系统的确认威胁,才会阻止和删除威胁,虽然效果下降很多,但误报率和干扰率也微乎其微,这才是MA发展的理念,才没有直接阻止行为监控检测到的行为,只是发动遥测等待云端的确认信息!

=====================================================
大家是不是被我前两段内容迷惑,认为AMP的Behavior Monitoring只有遥测,没有真正的阻止?实际上真的这样吗?请大家把本阶段的内容看完,在下定论吧。

首先说的是AMP Behavior Signature数已经达到1097条,截止日期是2015年10月14日。
部分行为特征如下:
[mw_shl_code=css,true]Behavior:Win32/UACAMSIProviderDel.A
Behavior:Win32/IEVProviderSet.A
Behavior:Win32/IEVProviderDel.A
Behavior:Win32/Pirpi.C!dha
Behavior:Win32/Teerac.G
Behavior:Win32/Vawtrak.D
Behavior:Win32/RpeSfInject
Behavior:Win32/Hikiti.A!dha
Behavior:Win32/GamarueRemLnk.A
Behavior:Win32/GamarueRemLnk.B
Behavior:Win32/Bondat!Dropper
Behavior:Win32/EtwTerminateMsAVUI.A
Behavior:Win32/EtwTerminateMRT.A
Behavior:Win32/EtwTerminateTaskmgr.A
Behavior:Win32/EtwInputDeviceRegistration.A
Behavior:Win32/BrobanLaw.A
Behavior:Win32/Banload.BAJ
Behavior:Win32/AMSIBlockProviderSet.A
Behavior:Win32/AMSIBlockProviderDel.A
Behavior:Win32/UACAMSIBlockProviderSet.A
Behavior:Win32/UACAMSIBlockProviderDel.A
Behavior:Win32/Gatak.D!dha
Behavior:Win32/Zupdax.A!dha
Behavior:Win32/MsxRat.A!dha
Behavior:Win32/Havex.A!dha
Behavior:Win32/Mozor.A!dha
Behavior:Win32/Mutret.A
Behavior:Win32/Crowti.G
Behavior:Win32/LojackNIS.A
Behavior:Win32/Gamarue.gen
Behavior:Win32/Gatak.E!dha
Behavior:Win32/AbsoluteRegSet.A
Behavior:Win32/DisableWinPE.A
Behavior:Win32/RockCandy.A!dha
Behavior:Win32/Dorkbot.AM
Behavior:Win32/Dorkbot.gen!B
Behavior:Win32/Dexel.A
Behavior:Win32/PsHiddenWindowLaunch.A
Behavior:Win32/CalcInject.A
Behavior:Win32/WmplayerInject.A
Behavior:Win32/Mytonel.A
Behavior:Win32/Foosace.A!dha
Behavior:Win32/InstalleRex.B
Behavior:Win32/Fynloski.C
Behavior:Win32/CrossPoint.A
Behavior:Win32/MpTamperExplorerNSEntry.A
Behavior:Win32/MpTamperDefenderAppIDSet.A
Behavior:Win32/MpTamperDefenderAppIDDelete.A
Behavior:Win32/MpTamperAmsiAppIDSet.A
Behavior:Win32/MpTamperAmsiAppIDDelete.A
Behavior:Win32/DocumentOpen.A!dha
Behavior:Win32/Colisi
Behavior:Win32/Registry_ApCompatFlags
Behavior:Win32/WusaSysprepElevation.A
Behavior:Win32/System_Desktop
Behavior:Win32/Powessere.G
Behavior:Win32/MpTamperBlockExplorerNSEntryMod.A
Behavior:Win32/MpTamperUIClsidSet.A
Behavior:Win32/MpTamperUIClsidDelete.A
Behavior:Win32/MpTamperBlockUIClsidMod.A
Behavior:Win32/MpTamperIoavClsidSet.A
Behavior:Win32/MpTamperIoavClsidDelete.A
Behavior:Win32/MpTamperBlockIoavClsidMod.A
Behavior:Win32/MpTamperAmsiClsidSet.A
Behavior:Win32/MpTamperAmsiClsidDelete.A
Behavior:Win32/MpTamperBlockAmsiClsidMod.A
Behavior:Win32/MpTamperMsMpComClsidSet.A
Behavior:Win32/MpTamperMsMpComClsidDelete.A
Behavior:Win32/MpTamperBlockMsMpComClsidMod.A
Behavior:Win32/MpTamperMsMpComTypelibSet.A
Behavior:Win32/MpTamperMsMpComTypelibDelete.A
Behavior:Win32/MpTamperBlockMsMpComTypelibMod.A
Behavior:Win32/MpTamperBlockDefenderAppIDMod.A
Behavior:Win32/MpTamperBlockAmsiAppIDMod.A
Behavior:Win32/BitsadminDownload.A
Behavior:Win32/BitsadminDownload.B
Behavior:Win32/Leenstic.A
Behavior:Win32/InstalleRex.C
Behavior:Win32/RundllDownloader
Behavior:Win32/RundllDropper
Behavior:Win32/ProcLaunchASEP
Behavior:Win32/InjectRemoteThreadInNotepad
Behavior:Win32/Foosace.M!dha
Behavior:Win32/EdgeInject.A
Behavior:Win32/Simlosap.A
Behavior:Win32/Sarento.A
Behavior:Win32/Remnant.A!dha
Behavior:Win32/PsDrop.A
Behavior:Win32/Remnant.B!dha
Behavior:Win32/RemnantNRI.A!dha
Behavior:Win32/RemnantNRI.B!dha
Behavior:Win32/FlashProtectedModeSpawn.A
Behavior:Win32/PluginContainerSpawnCalc.A
Behavior:Win32/Mytonel.B
Behavior:Win32/Sandeny.A
Behavior:Win32/IExploreSpawnCmd.A
Behavior:Win32/IExploreSpawnCalc.A
Behavior:Win32/TSWbPrxyEscape.D
Behavior:Win32/Mytonel.D
Behavior:Win32/RundllCallsMSInfo.A
Behavior:Win32/ExplorerCallsMSInfo.A
Behavior:Win32/Foosace.N!dha
Behavior:Win32/Miuref.IP
Behavior:Win32/ExplorerSuspLoadDll.A
Behavior:Win32/ProcFileASEP
Behavior:Win32/FynloskiTCPStream
Behavior:Win32/EdgeHomepage
Behavior:Win32/EdgeSearchProvider
Behavior:Win32/EdgeProtectedSetting
Behavior:Win32/EdgeSetting
Behavior:O97M/Donoff.A
Behavior:Win32/ApplicationPowershellLaunch.A
Behavior:Win32/DisableBitLocker.A
Behavior:Win32/DisableBitLocker.B
Behavior:Win32/PossibleHavex.A
Behavior:Win32/SuspWordPressAccess.A
Behavior:Win32/HavexNIS
Behavior:Win32/MiurefNIS
Behavior:JS/Bondat.D!ip
Behavior:Win32/WSUSInjection.A!dha
Behavior:Win64/Lequse.A!dha
Behavior:Win32/InjectedRemoteThreadSqlservr
Behavior:Win32/DnsTamperLib
Behavior:Win32/InjectedRemoteThreadWwahost
Behavior:JS/Bondat.E
Behavior:Win32/EUFI.A
Behavior:Win32/RootsUpdUAC.A
Behavior:Win32/GDad_RegExact.A!dha
Behavior:Win32/GDad_DroppedFiles.A!dha
Behavior:Win32/GDad_IP.A!dha
Behavior:Win32/Dipsind.A!dha
Behavior:Win32/Foosace.B!dha
Behavior:Win32/ShellExecRundll.A
Behavior:Win32/MiurefSendDataNIS
Behavior:Win32/SuspCoCC
Behavior:Win32/SuspCoCCRundll32
Behavior:Win32/MalTempDrop.gen!D
Behavior:Win32/PossibleASEP.AA
Behavior:Win32/EngineInternal_SevilleStartup
Behavior:Win32/SuspLNKFileDropper.A
Behavior:Win32/Foosace.C!dha
Behavior:Win32/DisabledSystemRestore.A
Behavior:Win32/DisabledTaskMgr.A
Behavior:Win32/MsTamperImgDeb.A
Behavior:Win32/ThirdPartyTamperImgDeb.A
Behavior:Win32/SuspFileLocationLaunchingSvchost.A
Behavior:Win32/Figyek.A
Behavior:Win32/Vawtrak.X
Behavior:Win32/NonStdILforSysWinProcs.A
Behavior:Win32/NonStdSvchostParent.A
Behavior:Win32/NotepadCrash.B!dha
Behavior:Win32/FltldrCreatesRemoteThread.A
Behavior:Win32/FltldrCreatesFile.A
Behavior:Win32/Ropest.A
Behavior:Win32/Ropest.B
Behavior:Win32/Ropest.C
Behavior:Win32/Ropest.D
Behavior:Win32/MpTamperMpamInject.A
Behavior:Win32/Gatak.F!dha
Behavior:Win32/DropDocument.A
Behavior:Win32/OfficeProcSuspIntegrity.A
Behavior:Win32/PossibleASEP.AB
Behavior:Win32/BrowserSuspIntegrity.A
Behavior:Win32/LowIlfolderProcSuspIntegrity.A
Behavior:Win32/Gatak.G!dha
Behavior:Win32/Gamarue!nri
Behavior:Win32/EdgeInject.B
Behavior:Win32/EdgeInject.BMS
Behavior:Win32/SIHostInject.A
[/mw_shl_code]
截止日期,2015年10月14日的全部行为定义特征如下:


大家对Behavior定义不要单单认为它仅仅是Telemetry用的哦,实际上AMP的行为定义可是Severe等级,也就是严重威胁,这是部分举例内容:

http://www.microsoft.com/securit ... ased&Package=AM
Behavior:Win32/AptIPMonitor                             
Severe                             
Behavior:Win32/AptIPMonitor1                             
Severe                             
Behavior:Win32/AptIPMonitor2                             
Severe                             
Behavior:Win32/AptIPMonitor3                             
Severe                             
Behavior:Win32/AptIPMonitor4                             
Severe                             
Behavior:Win32/AptIPMonitor5                             
Severe                             
Behavior:Win32/AptIPMonitor6                             
Severe                             
Behavior:Win32/AptIPMonitor7                             
Severe                             
Behavior:Win32/AptIPMonitor8                             
Severe                             
Behavior:Win32/AptIPMonitor9                             
Severe                             

http://www.microsoft.com/security/portal/definitions/whatsnew.aspx?Version=1.191.4085.0&Release=Released&Package=AM
Antimalware (Antivirus + Antispyware)                        
Name
Alert Level
VirTool:MSIL/AsmInject.A                             
Severe                             
Backdoor:Win32/Bifrose.EF                             
Severe                             
TrojanSpy:JS/Broban                             
Severe                             
Ransom:Win32/Chendub.A                             
Severe                             
Ransom:PHP/Crypweb.A                             
Severe                             
Behavior:Win32/Dalexis.B                             
Severe                             
Backdoor:Win32/Delf.IW                             
Severe                             
Behavior:Win32/DisableRegistryTools.A                             
Severe                             
Behavior:Win32/DisableTaskMgr.A                             
Severe                             
Behavior:Win32/DoubleClickClickNIS.A!AdSen                             
Severe                             
Behavior:Win32/DoubleClickImpNIS.A!AdSen                             
Severe                             
Behavior:Win32/DoubleClickMobNIS.A!AdSen                             
Severe                             
Behavior:Win32/ETerminateTaskmgr.A                             
Severe                             
VirTool:Win32/HookGina.A                             
Severe                             
TrojanSpy:MSIL/Keylog.E                             
Severe                             
Behavior:Win32/Kovter.A                             
Severe                             
Trojan:Win32/Kovter.C!!Kovter.gen!A                             
Severe                             
Trojan:Win32/Kovter.E!!Kovter.gen!A                             
Severe                             
Behavior:Win32/Kovter.gen!A                             
Severe                             
Trojan:MSIL/Louda                             
Severe                             
Worm:Win32/Nuqel.gen!A                             
Severe                             
Behavior:Win32/ShimUacBypass.B                             
Severe                             
Trojan:Win32/Tepoyx                             
Severe


http://www.microsoft.com/security/portal/definitions/whatsnew.aspx?Version=1.191.3880.0&Release=Released&Package=AM
Antimalware (Antivirus + Antispyware)                        
Name
Alert Level
Trojan:VBS/Bokit.A                             
Severe                             
Behavior:Win32/DropperObfuscatorUpatre                             
Severe                             
Behavior:Win32/DropperObfuscatorUpatreWithTxt                             
Severe                             
Behavior:Win32/DropperSpammerHedsen                             
Severe                             
Behavior:Win32/DropperSpammerHedsenWithTxt                             
Severe                             
Behavior:Win32/InjectedDownloader                             
Severe                             
Behavior:Win32/InjectedDropper                             
Severe                             
Behavior:Win32/InjectedInjector                             
Severe                             
TrojanSpy:Win32/Ursnif.HJ                             
Severe


我在之前的内容中故意隐去部分内容没有说,本想实际触发Behavior,然而Windows 10太坚固加上样本的问题,我2015年10月20日测试一天也没能触发Behavior Severe Level的出现,所以我只能发我之前测试的截图了。
刚刚在硬盘中找到几张Behavior Severe Level报法的截图,所以就不引用其他饭友的截图了。
双击触发严重级别的行为监控,阻止威胁运行。



这才是AMP Behavior Monitoring的真正面目,它不单单是行为监控遥测技术这样简单,如果文件有恶意行为到达触发Behavior Severe Level的程度,行为监控将不再等待云端反馈,而是直接阻止进程运行,如果恶意行为没有payload或者没有到达触发Behavior Severe Level的匹配度,就会是行为监控遥测的范围,因此我们正常使用AMP的时候,基本上见不到Behavior报法,因为它几乎没有误报,而现在AMP的云杀plock越来越强,所以大多数的双击也见不到Behavior报法,毕竟AMP对于高危病毒的入库很猛,这就是我们基本上见不到Behavior报法的原因,只能经常见到行为监控遥测。

如果算是今天更新的Behavior Signature,AMP应该拥有一千一百多条定义,这可不是一个小数目了,要知道最著名的智能主防SONAR 第四代才1400左右的特征类型啊,只可惜AMP为了控制误报,Behavior Blocker是很少出现的,大多数还是行为遥测,再加上AMP的云端自动化分析系统和plock杀的效果,我们很难见到AMP行为监控的Behavior报法,但它真的是存在的,千万不要被表面上的什么Behavior Monitoring Telemetry欺骗,实际上AMP平台是存在不错的行为监控和行为分析能力的,只有确认恶意行为特征与Behavior Signature达到很高匹配度的时候,Behavior Severe Level杀,才会出现呢。

再追加几张图SCEP 4.7的测试,令人惊讶的应该是Behavior不仅仅把恶意文件的本体结束运行,更不可思议的是Behavior居然删除了衍生物和启动项,这算啥?是特征码的修复?还是半吊子的回滚技术?不过当时不能确定是不是云反馈的云拦截,因为那时候plock只是一部分应用,而且报毒名是Behavior而不是plock。
半吊子的回滚?还是行为特征的修复?或者云响应以后的云阻止?


可疑行为阻止,同时隔离衍生物文件。


唉,如果发动行为遥测的时候也能有交互功能或者阻止的话,那该多么强啊,可惜微软不会让AMP因为大量误报和弹框而影响体验,所以行为遥测的默认阻止和交互模式,几乎不太可能出现,毕竟AMP是简约高效的免打扰软件!


好了,本帖到此结束,如有错误请大家多多包涵,勿怪

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8原创 +2 人气 +11 收起 理由
Tarchia + 2 版区有你更精彩: )
VUN + 3 一如既往支持龙哥:)
白露为霜 + 3 一如既往的支持龙达
诸葛亮 + 1 精品文章
ELOHIM + 1

查看全部评分

c68111c
发表于 2015-10-18 18:45:33 | 显示全部楼层
微軟要崛起了
EnZhSTReLniKoVa
发表于 2015-10-18 18:48:58 | 显示全部楼层
所以我已经在WIN10上单奔WD了。
绯色鎏金
发表于 2015-10-18 18:57:37 | 显示全部楼层
@驭龙 您的原创分析帖子已被推荐到论坛首页发现&分享频道,感谢提供分享,望再接再厉,分享更多有价值的内容
ctrlz2z
发表于 2015-10-18 19:18:50 | 显示全部楼层
本帖最后由 ctrlz2z 于 2015-10-18 19:21 编辑

原来如此啊,涨姿势了,大wd要爆发啊

@ericdj 投奔我大WD吧
驭龙
 楼主| 发表于 2015-10-18 19:21:56 | 显示全部楼层
ctrlz2z 发表于 2015-10-18 19:18
原来如此啊,涨姿势了,大wd要爆发啊

不单单是这样,现在只是不拦截也没有回滚,要不然MA的Behavior Monitoring会是非常强的主防,可惜的是没有直接拦截和回滚,现在只是个废材的遥测,没有主防的拦截
国民艾特
发表于 2015-10-18 19:36:46 | 显示全部楼层
在看看吧  暫時先用WD
ctrlz2z
发表于 2015-10-18 19:41:50 | 显示全部楼层
驭龙 发表于 2015-10-18 19:21
不单单是这样,现在只是不拦截也没有回滚,要不然MA的Behavior Monitoring会是非常强的主防,可惜的是没 ...

是啊,虽然没有主防的拦截,但遥测到反应感觉还是不错的,,比如衍生物是svchost那个,删除样本,启动项的注册值也被干掉了,,这算是修复兼回滚吧
HEMM
发表于 2015-10-18 19:44:32 | 显示全部楼层
我不稀饭爸妈踢功能,无云的我享受不到千里之遥来的帮手。
驭龙
 楼主| 发表于 2015-10-18 19:56:25 | 显示全部楼层
ctrlz2z 发表于 2015-10-18 19:41
是啊,虽然没有主防的拦截,但遥测到反应感觉还是不错的,,比如衍生物是svchost那个,删除样本,启动项 ...

这种注册表撤销能力是MA 4.7才拥有的功能,没想到这能跟BMT和MAPS联动,这真的是不错,没想到云杀也有这种本事,云杀带修复的很少见呢,其他家大部分云杀都只是删除样本而已
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 03:23 , Processed in 0.138973 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表