一周前的ESET对战wannacry

B100D1E55

国外区有个各家杀软半年前库vs wannacry的测试，不过半年前的库毕竟太久远了，大概有人好奇爆发前几天的库能不能杀，于是我就测了一下：
方法很简单，找了一个EAV8安装，然后修改注册表激活离线更新功能，下载了一个5月14日的离线更新包
ESET更新包属于增量型，因此只要简单修改update.ver就可以把5月12日之后的更新去除：

更新后情形如下（毒库是5月5日）：

运行毒区的wannacry

非常sad，高级内存扫描之类的都是启用的，一声不吭被过了

然后再看看如果更新了rapid response模块（拉黑相关），但是不更新毒库会有什么情况（rapid response更新为0513，毒库仍为0505）

再次运行同一个毒：

被AMS揪出来了，然而就算怎么点Delete也还是被加密了

总之，从ESET这次低调的态度来看的确情况不容乐观。虽然ESET宣称exploit blocker可以阻挡漏洞使用，但是对于恶意程序本身无法阻挡已经非常丢脸了。杀软这种东西平时无所谓，一旦失足一次就会让普通用户对其信心跌至谷底。当然，有可能病毒开发者针对ESET进行了免杀（反正ESET只要扫描免杀后续就没有阻碍了），但不管怎么说希望这次之后ESET能吸取教训进取一点。光速拉黑和局域网传播比起来也是杯水车薪，更何况本次测试中拉黑模块也无济于事

驭龙

老大，那个Suspicion Object是云杀的意思，并不是在快速响应模块中呀，而且快速响应模块不单单是文件拉黑，还包含IP 和域名的黑名单

另外如果通过局域网自然传播，ESS的Network Signature监控会拦截永恒之蓝的漏洞
https://forum.eset.com/topic/119 ... tack/#comment-60078

B100D1E55

驭龙 发表于 2017-5-15 08:00
老大，那个Suspicion Object是云杀的意思，并不是在快速响应模块中呀，而且快速响应模块不单单是文件拉黑， ...

我是全程断网测试的，控制变量只更新rapid module之后才出现了suspicious object，而且我没说这个module只有拉黑文件功能，估计包含了正式定义前的快速（AMS）定义
而且我并没有否认漏洞能被block，但如果这个payload是通过下载进来的ESET就挂了，还是囧

block已知漏洞其实挺无奈，这次作者只是用了个已经公开的洞，下次如果用一个未公开的漏洞（例如当年震网），blocker就拜拜了，到头来还要看本地防线的预判能力，而ESET这次……很难让人满意

驭龙

B100D1E55 发表于 2017-5-15 08:19
我是全程断网测试的，控制变量只更新rapid module之后才出现了suspicious object，而且我没说这个module ...

嗯，如果说ESET的表现，这次真的一般般。

虽然这次Windows 10不受影响，但我还是吓得回去用NS了。

说实话ESET对付ZeroDay方面真的很弱，这次如果是ZD的话，ESET必然全面崩溃了。

刚才我也测一下，在联网状态下用三月份的特征库双击，并没有出现SO杀，所以ESET的云杀与快速响应模块的拉黑部分还是有联系的

B100D1E55

驭龙 发表于 2017-5-15 08:40
嗯，如果说ESET的表现，这次真的一般般。

虽然这次Windows 10不受影响，但我还是吓得回去用NS了。

防ZD从exploit入手比较不实际，一般来说还是应该构建一个完善的进程行为监视机制，这样就算病毒通过漏洞执行了自己的payload，如果没有太高权限且相应进程行为能被监视到，就应该能被杀软检出并抑制。太宽松的白名单、禁运、手动入沙之类的在这类威胁面前都比较尴尬，所以我对于早些年某些产品所谓“轻量级”入口防御监控实在是无语了，技术差就诚实一点罢

驭龙

B100D1E55 发表于 2017-5-15 09:28
防ZD从exploit入手比较不实际，一般来说还是应该构建一个完善的进程行为监视机制，这样就算病毒通过漏洞 ...

所以说自动化SandBox类型的主防和监控还是很有必要的，可惜有这些的并不多，另外堆栈防护也还是可以防不少ZD的

B100D1E55

驭龙 发表于 2017-5-15 09:32
所以说自动化SandBox类型的主防和监控还是很有必要的，可惜有这些的并不多，另外堆栈防护也还是可以防不 ...

你这样一说我倒是觉得这次病毒只远程执行downloader会不会就是因为堆栈防护的大小限制……hmm应该去看看资料

EnZhSTReLniKoVa

怎么说了，国内的用户还是停留那个免费用那个环境下，但忽悠了杀软主防及系统补丁的重要性。虽然国外各大杀软现在很重视勒索病毒方面，但现在都是在云拦截上加大力度，主防过硬的也就几家而已。

驭龙

B100D1E55 发表于 2017-5-15 09:37
你这样一说我倒是觉得这次病毒只远程执行downloader会不会就是因为堆栈防护的大小限制……hmm应该去看看 ...

有可能吧，毕竟现在有不少安软都有堆栈防御，如NS和DrWeb TrendMicro 等

sunlight111

我靠，我刚更新了到ESET10，以为安全了呢，看来还是卡巴厉害啊