查看: 27304|回复: 88
收起左侧

[原创] 【原创翻译】ESET的多重防护与效果 已完成,欢迎提问

  [复制链接]
猪头无双
头像被屏蔽
发表于 2016-10-18 23:24:17 | 显示全部楼层 |阅读模式
本帖最后由 猪头无双 于 2016-10-21 15:54 编辑

感谢@驭龙    提供的ESET白皮书,通过这次翻译,我也学到很多ESET的技术理念与研发思路。相信这对于我们更好的理解ESET的技术初衷与实际效果提供了一定的参考。并且,我相信这也是对国内厂商的一次促进。

因为内容过多,我只能分楼层上了。争取翻译做到“信达雅”。能直接翻译的,就直接翻译;不能直接翻译的,如英语中的各种从句,酌情采用符合现代中文的说话习惯进行意译。个人只是个英语专业的普通大学水平,所以错误与疏漏在所难免,希望各位多提宝贵意见。

现将目录张贴如下

1. 出版目的

2. 杀软为何而生,缘何而亡

3. 多重威胁,多层保护

4. 多重威胁,多个平台


5. (恶意软件的)不同分发媒介

6. 恶意软件设计


7. ESET核心技术优势

8. 网络攻击防护


9. 信誉与缓存

10. DNA特征

11. 漏洞封锁

12. 高级内存扫描


13.  恶意软件云防护系统

14.  僵尸网络防护


15. 样本的自动处理与手动处理

16.  关于FP与IOC

17. 结论

++++++++++++++++++++++++++++++++++++++++++++

16/10/21 全部翻译完成

原文:https://cdn5-prodint.esetstatic. ... ESET-Technology.pdf

有转发请注明 出自卡饭 猪头无双,方便你我他,原文将在文章完成后上传。

评分

参与人数 12原创 +1 魅力 +1 人气 +11 收起 理由
墨家小子 + 1 魅力+100
城管大队 + 1
马云波波波 + 1 精品文章
士兵许三多 + 1 我来支持一下
Kyo.BA + 1 版区有你更精彩: )

查看全部评分

猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:28:56 | 显示全部楼层
1. 目的:

此文档中,我们将分析ESET如何运用多重科技实现了对杀软基本功能的超越。我们将分析解决某项特殊问题涉及了哪些层次以及通过这些技术,用户能获得何种益处。

2. 杀软因何而生,缘何而亡:

        大多数杀软公司成立的初衷是希望帮助那些遇到病毒或恶意软件的人们,并且它们用技术实现了杀软设计的初衷,并见证了(电脑)威胁(情况)的巨大改变。
        现在,杀软被视为是一种商品,而安全与每个人都息息相关,不论人们是否真正理解这意味着什么。
        最近,我们目睹了很多自称的“次世代/下一代”公司的诞生。此类公司显而易见地缺少发展反恶意软件的解决方案,然而它们积极标榜它们的产品是“创新”,并草率地建立了庞大的经销网络。
        有了巧舌如簧的产品经理出面,它们的大多数错误观念和产品得到拥护,而讽刺的是,它们实际上是使用第三方已经成熟的引擎与技术来保证产品的检测率,因为在目前如雨后春笋般出现的众多厂商中,几乎没有几家有自己的经验或能力来保证它们建立属于自己的“核心科技”。 (与此不同的是,)ESET的技术已经全部为自主研发并已形成系列。
        杀软不死。但是根据新入行的友商们的说法,单纯依靠特征码检测已经不足以支撑整个杀软行业,并且不足以应对当今世界层出不穷的新型威胁。
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:30:12 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-19 00:06 编辑

3. 多重威胁,多重保护:

        建立杀软公司的一大途径就是通过不断扩大处理样本的数量(来积累病毒库,完善规则),进而扩大自身的市场份额。自21世纪初以来,网络威胁并非静止不动,而是不断进化的。建立于20世纪90年代的技术已经不能有效处理今时今日的威胁。
        与现今的恶意软件的争斗是杀软公司与一群群的技术熟练,动机不纯的(尤其是想非法获利的)坏人间的猫鼠游戏。所以安软公司需要不时地完善自身产品,无论是被动改变,还是主动出击,以保持自身产品的有效性。同时,要添加不同层次(的检测手段),以保证能对目前的恶意软件检测并/或锁定。单一的技术或单一的防护手段远远不够。这也是为什么ESET从一家单纯的杀软企业进化为一家IT安全技术公司。


4. 多重威胁,多个平台:

        目前,恶意软件绝不仅仅只出现在微软的操作系统上。由于攻击者试图攫取许多未发现平台的控制权,所以(杀软与恶意软件的)战场在迅速改变。任何可以实现攻击的手段都会被用来作恶。任何可以用来处理外部代码的可执行程序都会被恶意数据攻陷。
        Linux服务器成为了攻击者们的一大目标(Operation Windigo, Linux/Mumblehard),运行OS X的mac系统组成了最大的僵尸网络之一(OSX/Flashback),手机成了公共目标(Hesperbot),对路由器的攻击也是威胁之一。Rootkits向硬件步步紧逼(对固件的攻击 或使用 the UEFI rootkit),虚拟化也向攻击敞开了大门(Bluepill, VM 不在此列)。同时,由于系统原因及脚本机制,浏览器与其它程序也经常被用来实现罪恶的目的(Win32/Theola)。

猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:30:39 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-19 13:43 编辑

5. 不同分发媒介

        传统意义上,第一代恶意软件为自我复制程序:即首先潜伏于系统之内,之后在电脑与电脑间进行文件感染或硬盘感染的形式传播。由于互联网使用的极其广泛,病毒的散播方式数不胜数。恶意文件也可通过邮件附件、网页下载、脚本内嵌、可移动设备共享等形式进行传播;而部署恶意软件也因为犯罪者充分利用了滥授权,弱密码得以实现;由于社会工程的出现,欺骗使用者运行这些依据漏洞(编写的程序成为了可能)。

6. 恶意软件设计

        由年轻人编写恶意软件来炫耀自己或开玩笑的时代已经一去不返。如今,编写恶意软件的目的变为窃取钱财或是信息。并且,无论是政府还是犯罪分子都向恶意软件的发展领域投入了巨额资金(来减少或促进它们的进步)。

       为了使检测变得更为困难,恶意软件编写者采用了不同的系统语言,运用了各种编译程序与解译语言。他们运用定制软件使(恶意软件的)代码受到隐藏与保护,其目的是使检测变得更加困难。恶意代码注入干净的程序中目的有二:一、躲过针对可疑行为的行为监控(以保存自身);二、确保自身不被移除。这样,(恶意代码)得以常驻系统。脚本被用来躲避程序控制技术,而“只驻内存”的恶意软件绕开了基于文件安全(的扫描技术)。

        为了悄悄地绕过防护,恶意软件编写者用手中种类众多数以千计的恶意软件冲击网络(以掩盖其真实目的)。另一种手段是:将恶意软件分散分布于一小群目标中,化整为零,以避免引起杀软公司的注意。
        
       为避免检测,恶意软件编写者会利用某些白文件中被误用的组件,或是偷窃合法公司的证书/数据签名,混入恶意代码。并用(含有)恶意代码(的证书/数据签名)为上述组件签名。这样,非法代码也可以躲过检测。

        同样,在网络层面的恶意软件也很少利用硬编码的指挥控制服务器来从受损网络中发布指令与收集数据。用对等网络来分散控制(恶意软件编写者手中的)僵尸网络更为常用。而且由于加密通信的存在,对攻击的鉴定与识别也变得尤为困难。

        域生成算法使基于封锁已知不良网址的检测效果大打折扣。攻击者们将那些信誉良好,有合法的广告服务器的网站掌握在手,并利用这些网站上传恶意内容。

       攻击者躲避检测的手段众多,所以单一层面或单一手段的保护方案不足以保护您的(电脑/数据/信息)安全。我们ESET人坚信:只有经常、实时、多层次的安全防护才能最大限度的保证您的安全。
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:31:00 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-21 16:14 编辑

7. ESET的核心技术优势

       ESET的扫描引擎是系列产品的核心,其继承自“老式杀软”,并作为(ESET产品的)基础,得到了很大的拓展与增强,这种不间断的改进/增强使(ESET扫描引擎)能够应对现代的各种威胁。(创建)扫描引擎的目的是尽可能的识别恶意软件并做出自动化分类,即该恶意软件属于何种类型。

        多年以来,ESET的稳定表现源于智能算法+人工编写的汇编码(组成的扫描引擎),为突破深度分析代码时造成的系统性能瓶颈,我们将沙箱技术也整合了进来。但是,近几年我们对此有了突破。现在,为了(达到)性能最大化(利用),我们(也/还)采用了二进制翻译技术-binary translation与仿真解译技术-interpreted emulation。根据19L驭龙提供的官方翻译,此处改为二进制翻译技术,感谢。/color]

        基于内置沙箱技术,你可以在虚拟环境中仿真电脑的各个组件—无论是硬件还是软件,来执行某个程序。这些(可被仿真的)组件包括内存、文件系统、操作系统、各种API以及CPU。

       过去,对CPU的仿真是靠定制的汇编代码(实现的)。然而,它们属于“翻译码”,也就是说每个单独的指令要被分别仿真进行。有了二进制翻译技术,你可以使用真实的CPU来执行仿真指令(群)。这样做会更加迅速,尤其是在代码中含有循环(指令)的时候:采用多重循环(指令)对所有可执行文件而言是一项保护性的技术,这项技术可以使可执行文件本身免受安全产品与研究者的分析。

        ESET产品分析成百上千的各类文件格式(可执行文件、安装包、脚本、压缩包、文档和字节代码),以确保能够精准地侦测(其中包含的)嵌入式恶意组件。

       下图展示了各类ESET核心技术在一个威胁样本在潜伏于系统的生命周期内是如何被发现与/或锁定的近似例子:



分辨率较小,大家凑合看吧,因为从官方pdf上截下来的时候就不是很大,很清晰。



8. 网络攻击防护

        网络攻击防护是防火墙技术的一项扩展/延伸与网络层面已知弱点的改进型检测(手段)。通过对各类广泛使用的协议,如SMB\RPC和RDP,共有的弱点进行检测,(ESET的)检测实际上在对抗网络恶意软件传播、网络引导攻击与利用弱点进行网络攻击(尤其是相关补丁未出现或研发之前)方面形成了另一重重要的防护。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:32:37 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-19 22:13 编辑

9. 信誉与缓存

        在检查一个文件或网址是否有问题之前,我们会先检查本地缓存(ESET会分享本地缓存,例如EES),看这个文件是否是已知的恶意软件还是白名单中的良性文件。这将改善扫描时的性能(如内存占用等)。
        之后,(文件会被链接到)ESET的LiveGrid信誉系统以检测文件的信誉(例如,是否该文件已经在别处出现,并鉴定该文件是黑、白还是灰)。这改善了扫描效率并保证会尽快的与其它用户分享恶意文件的特征。连接URL黑名单并检测信誉可以阻止用户连接恶意站点和/或钓鱼网站。



10. DNA特征码

       特征码的分类由特定的哈希值决定。例如,在确定特别的恶意二进制码方面,或特定的恶意软件类别方面,无论从统计意义上而言,还是单纯从给定可疑的恶意软件更加精准的报毒名称方面(看,特定哈希值的意义都十分重要)。这些特定哈希值存在于ESET的DNA特征码中。而整个ESET的DNA特征码包含了恶意行为的定义规则与恶意软件的特征。

        老式杀软的匹配系统很好绕过,只要简单的修改代码或者运用干扰/混淆技术。但是,行为却并不好轻易改变。ESET的DNA特征码被精确地设计出来,就是为了充分利用这一原则。我们对(恶意软件的)代码进行深度分析,提取出代表性行为具有的“基因”。这种行为基因,要比某些“下一代”解决方案提供的IOC(感染指标)内容丰富得多,尽管IOCs被它们吹嘘为替代特征码检测的更佳选择。

        ESET的行为基因被用来建设DNA特征码系统,而DNA特征码则被用来评估潜在的可疑代码,无论它存在于硬盘上还是存在于运行进程的内存中。此外,我们的检测引擎也提取了许多识别基因,这些识别基因用来进行异常检测:任何看起来不合法的东西,都有可能是潜在的恶意软件/代码。
      
        依赖于可调节阈值与匹配条件,DNA特征码可以精确地确定恶意样本与已知恶意软件家族的新变体甚至是含有符合基因特征的恶意行为的未知恶意软件。换句话说,一条精心编写的DNA特征码可以检测成千上万的有互相关联的恶意软件变体并且确保我们的杀毒软件不仅能检测已知的恶意软件,还能检测出新的,未确定的恶意软件变体。此外,自动集聚化技术与机器学习算法程序参与进恶意样本的确立中使得我们能定义新的恶意基因与行为模式,以便扫描引擎的检测。这些基因与海量的白名单结合,以保证没有误报。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:33:00 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-20 20:25 编辑

11. 渗透封锁/漏洞封锁

        ESET的技术保护各个层面的各类弱点(不被利用):扫描引擎针对各类畸形文档的(代码对系统的)渗透;网络防护保护(网络)通信层次(安全);最终,渗透防护(技术)终结了渗透程序自身。
        
        渗透封锁/漏洞封锁技术主要监控一些典型性的可被利用程序(如浏览器、文档阅读器、邮件客户端、flash、java及其它)。并且该技术不是只针对漏洞代码而研发,而是关注各类(利用漏洞的)渗透技术。
      
        每个泄露点都存在于进程执行(过程中存在的)异常部分。我们寻找的是那些有可能存在渗透技术的异常之处。由于技术处于不断的变化发展之中,新的检测手段也随着新的渗透技术的出现被定期添加到(我们的产品中)。一旦(某个漏洞被利用)触发(我们的判断规则),我们将分析该进程的行为,如果判定该行为可疑,那么该进程将在客户的电脑上被迅速锁定。同时更多的与该次攻击相关的数据将被上传到ESET LiveGrid 云系统中。这些数据将被进一步分析并(与其他信息)相互关联(以查找共性)来保证我们精确判定未知威胁或所谓的零日威胁(是何种类型)。之后,这些有价值的信息会汇总至实验室添加进智能的漏洞防护/渗透防护(规则中/学习系统中)组成另一重防护,并逐步接近攻击者。这项技术完全不同于只(通过)分析恶意代码(而形成的)侦测技术。

12. 高级内存扫描

        高级内存扫描是ESET的一项独门技术,它能更有效地针对一类被广泛使用的,非常重要的现代恶意软件—模糊处理软件和/或加密软件。

        这类软件的自保策略是采用运行时间封包器和代码保护器,而用类似模拟化或沙箱技术的解包技术就会在检测时发现这类恶意软件会造成问题(即自毁或其它导致系统崩溃的问题)。另外,不论是否在虚拟/现实沙箱或模拟化技术完成(对样本的)检测前,也没法保证这个恶意软件在分析期间会显示出能够暴露自身属性的典型性行为。

        恶意软件可以通过上述伪装技术保证不是每个执行通路都能被分析到;他们通常带有有条件的代码触发器或时间触发器;通常的,它们都会在生命周期内不断下载新的组件(来保证自身不被破坏)。

       为解决此类问题,高级内存扫描在每个恶意进程在内存中解除伪装的时候监测其行为。这项技术更加可以作为对传统的预执行主动代码分析技术或实时主动代码分析技术的补充。

        同时,一个干净程序也可能会因为被渗透利用或代码感染而突然从白转黑,所以执行分析并不够。ESET的高级内存扫描也在进行必须的实时监控。

        无论何时,每当一个进程在一个新的可执行页面中进行一次系统调用的时候,高级内存扫描都会调用ESET的DNA代码进行行为代码分析。代码分析不仅针对标准执行内存,也针对于恶意软件作者(使用的)NET MSIL(微软中间语言)代码。而该代码通常被用来阻碍动态分析。由于使用了智能缓存技术,高级内存扫描对处理速度既不拖累,也不会产生任何会被注意到的恶化。

        高级内存扫描与漏洞防护/渗入防护合作良好。不同于后者的是,高级内存扫描是一种执行后防护手段。这也就是说,有很大风险,一些恶意行为可能已经产生(于高级内存扫描发现之前)。然而,这也是当恶意攻击者攻破其它层防护后(要面对的)我们产品多层防护链条的最后一环。

       此外,现在的一些高级恶意软件有一种新的趋势:一些恶意代码似乎“只在内存中”运行,而不需要常驻组件存在于文件系统中。这样做可以避免被轻易地删除。首先,这类恶意软件只出现在服务器上,因为服务器系统的正常运行时间都很长,一个周期需要持续数月,甚至数年。这样恶意进程能独立存在于内存中,而不需要担心死于重启。但是近来针对商业公司的攻击表明这个趋势有所变化。我们发现(企业)端点也被以这种方式(攻陷了)。只有内存扫描能够成功地发现这种恶意攻击,ESET已经准备好用高级内存扫描应对此类新趋势。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:33:20 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-20 21:53 编辑

占楼备用13-14

13.  云恶意软件保护系统

        ESET的云恶意软件防护系统是少有的几项基于ESET云系统—ESET LiveGrid的技术之一。

        未知的,潜在恶意程序和其它威胁将被监控并经由ESET LiveGrid反馈系统递交到ESET云。

        样本将被收集起来,并上传至自动化沙箱进行行为分析,如果确定有恶意行为,将自动生成结果。ESET的客户端将通过ESET LiveGrid反馈系统(尽快)获知这些自动判断的结果,而无需等到下次病毒库更新。

        这个机制的周转时间不超过20分钟,这将保证在常规更新分发至客户端之前能够应对紧急的威胁。


14. 僵尸网络防护

        恶意软件有一个要素对于恶意软件作者来说改变起来代价高昂,这就是与C&C服务器进行信息交流。ESET的僵尸网络防护被证明能够很成功地侦测到来自僵尸网络的恶意通信并同时能确定恶意进程。ESET的网络特征码扩展出了僵尸网络防护技术。该技术将网络流量分析与发现(网络的)一般问题结合起来。它们允许更快与更灵活的监测恶意流量。工业标准的特征码,如Snort, Bro等,允许监测更多攻击,但是ESET网络特征码被专门设计用来针对网络弱点,泄露点,特别是高级恶意软件间的通信。

        在端点间执行网络流量分析的能力具有额外的优点。它允许我们精确断定是哪个模块或进程进行恶意通信的。它也允许我们采取行动去对抗特定目标,有时甚至能破解加密通信的密码。

        【今日的主动防护&被动防护】

        既然DNA特征码几乎可以检测所有的恶意软件家族,那么它们就必须被下放到用户手里保护他们。扫描引擎也是同理,启发或任何针对新威胁的变化(亦复如是)。现今与ESET LiveGrid云系统的沟通需要最高程度的保护是基于以下几点原因:

        i. 离线扫描是最被动的。现如今的主动防护并不意味着仅仅是在你的产品中加入最好的启发技术。(红伞等启发杀软被打脸 )只要你的杀软在攻击者面前是可利用的,那么无论这东西是否用了特征码、启发、机器学习等手段,攻击者会尝试(摸清)你的侦测技术,不断修正自己的恶意软件,直到它不被侦测到为止,之后,就是释放恶意软件了。而ESET专打这种策略的脸。

       ii. 升级并非实时。升级可以更新的更频繁,甚至你可以几分钟一次的更新速度给用户以更新。但是,能否更进一步?是的。ESET LiveGrid能通过在任何需要的时候提交信息来确保(用户)立即(得到)防护。

        iii. 恶意软件试图躲避侦测。恶意软件的作者,尤其是网络间谍一直试图躲避检测。精准目标攻击,而不是像邮件蠕虫那样的大范围攻击,只需要部署几个恶意软件给一小群目标即可,有时候甚至目标只有一个。

        我们用以下事实对抗恶意软件的作者:任何东西,只要是不流行的,或者说信誉度不良的,都会被判定为潜在可疑的恶意软件,并被详细分析。无论是在端点,还是通过LiveGrid反馈系统被详细地上传并被自动分析。ESET LiveGrid反馈系统包括(某文件的)以下信息:文件名、起源地、相似点、证书、URL和IP。

        【利用ESET LiveGrid的防护】

        云防护的一个最简单实例就是哈希值组成的精确黑名单。这种制度可以对文件和网址都十分有效,但是它仅仅封锁可以在黑名单中(找到)精确匹配的哈希值(的样本)。这种限制性使模糊散列/哈希值得以出现。而模糊散列/哈希值被(恶意软件作者)考虑来(制作)二进制码相似的东西,尤其是两个东西的哈希值完全相同或相似。

        ESET已经更近一步地利用混淆散列/哈希值。我们不仅仅分析数据的哈希值,而是(添加对)行为的哈希值(描述)进入DNA特征码里。利用DNA特征码,我们可以立刻锁定一个恶意软件的数千个不同变体。

        ESET云恶意软件防护系统的目的不仅仅是为用户提供实时的黑名单。如果用户决定随时参与分享样本(给ESET)的过程,那么无论何时,只要他确定提交的新样本信誉可疑,那么ESET都会对其作深入分析。为了充分发掘云恶意软件防护系统的潜力,用户应该主动参与到ESET LiveGrid反馈系统(中来),这将便于我们随时收集任何信誉可疑的不良样本,来做进一步的深度分析。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
猪头无双
头像被屏蔽
 楼主| 发表于 2016-10-18 23:33:47 | 显示全部楼层
本帖最后由 猪头无双 于 2016-10-21 15:52 编辑

15. 样本的自动处理与手动处理

        每天,ESET会收到几十万的样本,这些样本在经过预处理并分类后会被或全自动处理,或半自动处理或手工处理。自动处理的样本会经过(ESET)内部的工具在一大堆虚拟机或实机上(进行分析)。而样本在经过动态或静态的代码分析提取属性之后进行分类整理。(这些分类所依据的是样本)在系统上,网络通信模式上、与其他样本的相似性上、DNA属性上、结构信息上、异常检测结果上(显示出)的不同点。

        【全自动(样本)分级器的固有缺点】

        i. 对不同样本选择对应的分析器时并不细致,而是由反恶意软件领域的专家的常识做出的选择—(换言之,依据现有规则分析未知样本,会造成误判)。

        ii. 机器学习引擎需要人工的参与,来检测用来学习的输入的数据是否准确。由于(学习)过程是全自动的,所以前期系统分析样本的结果将成为后期学习的输入数据(来源),(而一旦输入数据产生偏差),那么整个系统将向滚雪球一样偏差的越来越厉害,这将导致整个反馈-分析—下放的循环变得不稳定:一端是“无用输入”,另一方是“无用输出”。

        iii. 机器学习算法并不懂得一个道理:即数据和信息可能在统计意义上是正确的,但却未必是它所需要的。(就像一个人反复练习十以内加减法却仍然不会做高等数学题一样——译者注)例如机器学习引擎不能从畸形的软件样本中分析出新型的白样本是什么;也不能从一个恶意软件使用的升级器中分析出(升级器应该下载的)白程序是什么样的;更不能判断哪些白组件被加入了黑代码干了坏事。

        iv. 用机器学习,增加新样本进入学习(引擎),是可能造成误报的;而一旦剔除误报,又可能减弱学习引擎的检测效果。

        v. 然而通过ESET LiveGrid,自动处理样本却可以让我们对新型威胁做出迅速反应。由于扫描引擎对样本提供了额外的扫描,可以在保证高检测率的同时最大程度的降低误报。(哟~~这B装的,我给3分,另外2分不给是怕他们骄傲 )

        【信誉服务】
        ESET LiveGrid也为样本提供信誉服务。我们判断一个东西的信誉是基于大量的实体得来的,包括文件、证书、URL和IP等。综上所述,信誉可以被用来判定新的恶意样本,或感染的来源。除此之外,云信誉还有其它作用:

        1). 检测白名单:检测白名单可以有效减少扫描引擎对样本的检测次数。如果我们确定一个样本是未经修改的白文件,那么我们可以完全不去扫描它。这将对系统性能有非常积极的影响,并将使ESET更加低调地在电脑上常驻。正如我们所说的,最快的代码就是从来没有运行过的代码。我们的白名单会实时(更新),以更加适应这个不断变化的真实的软件世界。

        2). 智能收集:如果一个用户决定给ESET LiveGrid上传数据,我们将利用(用户上传的)信息全球追踪,监控威胁。这些上传的信息给了我们丰富的数据来进行工作并允许我们专注于最急迫,最不确定的情况,观察恶意样本的流行趋势,计划优先发展哪些防护技术。


16. 关于IOC与FP

        感染指标(Indicators of compromise 简写为IOCs, 翻译的准确与否译者不敢保证,只能是字面翻译)被认为对当代公司的安全非常重要。尽管有“新一代/下一代”安全提供商的吹嘘,但它们本身既不特殊,也不先进。下图是对现今最流行的IOCs的分类,与它们实际上依赖的是何种技术。*



        数据来源: IOC Bucket,  2015年4月,  IOC Bucket 是一个公益的社交驱动平台,致力于提供 安全社区一种分享威胁信息的方式

        我们可以发现,这些IOCs所依靠的东西非常基础,有25%是基于MD5,其次就是文件名,等等。这些显而易见的不是能对现有威胁提供有效防护的手段,尽管这些经常被某些厂商拿来吹嘘(自家产品如何如何牛B)。讽刺的是,一些新来的友商们对“老旧的”特征码扫描技术不屑一顾,而对IOCs大加赞美。而实际上,这些所谓的“手段”在检测样本,应对威胁方面是最脆弱无力的。


17. 结论
        网络安全没有良方和捷径。现如今的恶意软件变得更加动态化和有针对性,需要融合主防和智能技术的多重防护手段(才能应对),而这些技术是技艺精湛的科技工作者收集了许多年的千万亿个字节的数据一点点研究,积累出来的。

        遥想20年前,ESET已经意识到,传统形式的杀毒软件并不完善,所以我们需要将主防技术融合进我们的扫描引擎之中。这样,我们能逐步建立多重防护手段去对抗网络攻击链条的任何一环。

        ESET是少数几个具有超过25年经验,能提供高品质防护的安全产品供应商之一。这允许我们走在恶意软件的前面,并不断进化我们的技术超越传统的特征码。我们独有的端点—云端结合技术,使得我们能提供最先进的安全产品去对抗市面上的恶意软件。



++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


译后记:

        再次感谢@驭龙   的无私奉献,没有他提供的原文,我的这篇拙作只能是镜花水月了。当我在10月21日 15:32 敲下最后一个句号的时候,这篇翻译稿才算是告一段落。

        通过这次翻译,我有以下几点体会,想和各位饭友分享,毕竟才疏学浅,有说的不到的地方,还望大家多多包含。

        1. ESET主张“云地结合”、“主防与特征码”结合。为此,它开发了智能启发引擎,高级内存扫描引擎等本地用具,还提供了HIPS。而在云端,它的LiveGrid云端收集了大量样本,并提供沙箱分析等等手段。这些是在云上的沙箱,据我猜测,本地的启发引擎应该也有沙箱,只是没见专门提到。

        2. 通过翻译,大致可以发现ESET的报毒流程如下:

           ①发现样本——锁定样本,上传签名比对——云端沙箱分析比对,得出结果——下放本地
        
           ②发现样本——锁定样本,上传签名比对——云端沙箱分析比对,未得出结果——本地虚拟运行——高级内存扫描——得出结果

这两个流程不是二选一,而是混合进行或者说交替进行的。没有优先级之分。这样确实有优势,然而也有不足。

      1. 没提到HIPS的作用,但是无论是图片还是总结,都提到了主防,估计ESET目前倾向于智能化主防,HIPS的作用并不突出,或许今后会有其它打算。

       2. 高级内存扫描是ESET的最后一道防线,而且是事后防护,换句话说,一旦在判定恶意行为之前,样本已经做出行为,那可是追悔莫及啊。结合文章来看,这个高级内存扫描是不带回滚的。这就不如BG的主防和Norton的sonar那样带回滚好了。希望今后改进吧。

       3. 没提到自我保护,只是说云地间的传输的重要性,但是丝毫没提本地安全如何保证。估计会有后续手段吧。

       4. 清毒的重要性没提。看来ESET的清毒bug是不准备改了。


以上。


各位想砸什么就砸什么吧!开启召唤大法

@欧阳小黑黑    @笑嘻嘻摸JJ    @瓜皮猫    @吾与谁归    @ikimi    @蓝核    @fireman    @ccboxes    @诸葛亮    @qftest

++++++++++++++++++


国际惯例启动,没等到的莫急,人气CD中

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 10人气 +11 收起 理由
电脑发烧友 + 1
晓de朱雀_鼬 + 1
solstice1988 + 1 抱歉,这个帖子按规定属于不适宜帖
瓜皮猫 + 1 赞一个!
Kyo.BA + 1 版区有你更精彩: )

查看全部评分

经常无语
发表于 2016-10-20 01:04:28 | 显示全部楼层
前排围观

评分

参与人数 1人气 +1 收起 理由
猪头无双 + 1 国际惯例

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:30 , Processed in 0.135789 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表