查看: 3960|回复: 78
上一主题 下一主题
收起左侧

[分享] ESET防勒索锁库测试

  [复制链接]
B100D1E55
跳转到指定楼层
1
发表于 5 天前 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 B100D1E55 于 2017-5-19 16:02 编辑

ESET自动模式下似乎是个没有主防的废柴,样本区也天天看到Miss,真的这么不堪么?本来是打算写一篇ESET和机器学习的帖子,快写完的时候我浏览器崩溃了,文字全消失了,内心也随即崩溃了……于是为了缓解心情随手做了一下这个有意思的测试。将ESET库锁在3月9日,如下图:

依次测试从3月8日开始到5月11日毒区的勒索样本,在这里特别感谢每天供应新鲜样本的网友,特别是Agu,Dolby123,petr0vic这几位孜孜不倦地跟踪ransomware趋势的同学。
测试全程断网,使用EAV10,开启反勒索,HIPS为自动模式。

说实话我一开始不抱什么期望的,但是测完之后还是有点惊喜,结果如下:
总数即当日样本数量,检测为总检测数(即报毒,部分被加密也算),AMS为高级内存扫描报毒,入库特征即通过在库特征报毒,反勒索HIPS即通过反勒索模块报毒。剔除了不会加密的样本。根据样本最后修改日期(而非发帖日期)归类到下面表格的日期栏里
日期总数 检测 AMS 入库特征 反勒索HIPS
3-85 5 0 5
3-9 11 1(部分加密)
3-10 10 10 5 2 3 (均部分加密)
3-11 2 2 2
3-12 2 2 1 1 (部分加密)
3-13 5 5 4 1 (部分加密)
3-15 9 8 8 (1个部分加密)
4-5 2 2 2
4-17 2 2 2
4-18 4 2 2
4-19 3 1 1
4-20 5 5 4 1
4-21 11 1
4-27 1 1 1
5-5 1 1 1
5-11 2 11


这里不统计百分比,主要原因是因为百分比在这里没有意义——样本数量太小,而且同一个包中可能存在大量重复变种,等等
但这里可以看到几个有意思的现象:
1) HIPS和反勒索模块并没有在打酱油


事实上他们出现的次数并不少。我的观察是反勒索模块更多的是监控已知恶意软件行为特征,基本上如果AMS被过了,最后一道防线就是这个,代价是部分文件被加密
2)ESET的AMS极为重要
很多人还在用4.2或者老的企业版,从这个测试可以看到如果没有AMS的话ESET前摄性检测是很悲惨的(右键扫描/开高启发也没有用的)。4.2没有AMS模块,所以快升级吧
AMS是杀变种的主力!现在几乎所有的勒索都需要较长的运行时间(半分钟到一分钟)才会在内存中现形。由此可以看到Avast那种短时沙盘,或者MSE较弱的启发引擎面对这些都会比较吃力。AMS应该算ESET加入HIPS后最重要的一个进步,在性能几乎没有折损的情况下做到全程监控内存页,就算ransomware用了很多混淆但只要在内存中decloak就会被查出,大大增加了检出率。3月初的库也能检测出5月份所有Cerber的变种/混淆exe
3)面对新威胁仍旧有局限性,更新很重要
其实这点是大部分杀软仍旧面对的问题,为了控制误报的无奈之举。这里值得注意的是3月15日miss的一个是cryptoshield的一个新变种,行为和传统cryptoshield很不一样。4月18日miss的两个是Sage 2.2新变种。很神奇的是4月才开始出现的Jigsaw就已经被3月初的ESET特征库检出(4月21日那天),报的是Confuser。5月11日miss的是新的Jaff ransomware,预料之内。剩下的有几个样本没有加密行为……需要进一步研究就暂时不放上来了。总体而言,基本上Cerber,Spora,Cryptoshield的所有新变种用陈年老库都能杀
4)ransomware越来越狡猾
测试过程中发现有一些ransomware故意不加密windows默认自带的图片和视频文件。这么做目的很明显,有的很挫的分析沙盘偷懒不添加自己的mi-guan文档(payload security免费版大概就这样),而ransomware又不加密系统自带文档,也就没有ransomware行为从而逃过自动机检测

总之强烈建议未来样本区右键miss的时候虚拟机双击试试看
顺带一提今天翻论坛的时候发现自己大概不算ESET老用户……我今天才知道ESET自我保护规则是连同系统关键部分一起保护的,然后才知道HIPS加了一个smart模式(虽然还是没什么用……)



评分

参与人数 8分享 +2 人气 +7 收起 理由
小小龙 + 1 原创内容
qftest + 1 版区有你更性感: )
sunnyjianna + 1 版区有大神更精彩: )
翼风Fly + 1 版区有你更精彩: )
linzh + 1 感谢支持,欢迎常来: )

查看全部评分

fireherman
来自 10楼
发表于 5 天前 |
本帖最后由 fireherman 于 2017-5-19 16:41 编辑

占位,求顶置。

测试环境:WinXP SP3(未打补丁)
杀毒软件:ESET-NOD32 ess 8 [v15375](病毒库强制不更新,保留在WannaCry爆发前)
防火墙:ESS(开启IDS全部检测/交互模式(有可疑弹窗选择【阻止】))主要测试项目
HIPS:智能模式(除了【备份文档保护外,全部选择默认】)

样本:http://bbs.kafan.cn/thread-2088953-1-1.html


结果相当的惨烈……

@而我到底是谁   @KK院长   @驭龙   @B100D1E55   


防御失败

截图:






















只有HIPS保护的【备份文档】免遭毒手……

(包括【手动保护规则】和【ESET自保规则(保护自身)】)

但WannaCry依然不停尝试加密,正好给我截图的时间。





评分

参与人数 5分享 +1 人气 +4 收起 理由
小小龙 + 1 ESET加油!
qftest + 1 噗~看到院长的点评我笑了
屁颠屁颠 + 1 版区有你更精彩: )
KK院长 + 1 比小A好多了.
驭龙 + 1 版区有你更精彩: )

查看全部评分

ys0516
2
发表于 5 天前 |
用的EAV测试?
B100D1E55
3
 楼主| 发表于 5 天前 |

是的,EAV10,因为我自己就在用EAV
ys0516
4
发表于 5 天前 |
B100D1E55 发表于 2017-5-19 15:44
是的,EAV10,因为我自己就在用EAV

我还以为EAV防不住勒索呢
B100D1E55
5
 楼主| 发表于 5 天前 |
ys0516 发表于 2017-5-19 15:49
我还以为EAV防不住勒索呢

EAV除了没防火墙外其他功能基本上是全的。。不然对不起那个价格
ysj963
6
发表于 5 天前 |
用eset,不乱安装不正规软件倒是不怕,怕就怕用破解软件的时候出问题。
B100D1E55
7
 楼主| 发表于 5 天前 |
ysj963 发表于 2017-5-19 15:58
用eset,不乱安装不正规软件倒是不怕,怕就怕用破解软件的时候出问题。

我倒觉得很方便啊。对于普通用户来说,由于ESET低误报,基本上报毒的都该删(报风险的也飞常准),剩下不确定的扔沙盘跑,或者上传在线沙盘看一看也行。这样做不少恶意程序基本都能躲过。早年我用诺顿的时候天天加排除,到后面就差把毒一起排除了
ysj963
8
发表于 5 天前 |
B100D1E55 发表于 2017-5-19 16:01
我倒觉得很方便啊。对于普通用户来说,由于ESET低误报,基本上报毒的都该删(报风险的也飞常准),剩下不 ...

普通用户只要是不打游戏的 ,用ESET都没什么问题。。他们也不会装破解软件 哈哈。ESET是的客户基数很好。跑沙盘 ,估计只有卡饭这种地方的人才会干了,ESET本地勒索防护还是太菜,检出率没有卡巴、诺顿、ATC高,不过比国产的还有其他软件好太多。但是P版卖400多不太好!
驭龙
9
发表于 5 天前 |
现在的Ransomware Shield大部分是基于交互式询问的,因此官方下一步会改进这方面的问题,会在ESET Endpoint Security V7版本中融入,而且是在今年发布EES V7 BETA
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-5-24 10:06 , Processed in 0.110560 second(s), 11 queries , MemCache On.

快速回复 返回顶部 返回列表