查看: 11930|回复: 90
收起左侧

[讨论] 勒索防护的吐槽

  [复制链接]
B100D1E55
发表于 2017-8-16 11:13:28 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-8-16 11:52 编辑

只要用户使用方法正确就能100%抵御威胁并且带来0%误报的杀毒软件如下:
1. 写一个BAT,总是返回待测文件是病毒的结果 (100%侦测率)
2. 再写一个BAT,总是返回待测文件不是病毒的结果(0%误报率)
3. 最后写一个BAT,询问用户某个待测文件是否是病毒,如果用户回答“是”,那么运行第一个BAT,如果用户回答“否”,则运行第二个BAT
注意哦,我给的前提是“只要用户使用方法正确”,如果你打开方式不对那就怪不了我了。

这个笑话虽然很冷……但现实中设计安软的确存在一个这样的分歧,有的厂商将选择权交给了用户(用户错了不背锅),有的厂商则喜欢自动处理(漏杀误杀要背锅)
总的来说,理想的安软应当是后者。不过在ransomware盛行的今天做到后者太难了。正常软件和ransomware很有可能只有一线之隔。

出于好奇,我手贱测试了一下几个自称有ransomware防护的软件。本来打算写个批量文件修改的程序测,但是我实在是太懒惰了,想了一想决定把winrar改一下MD5来测试。winrar有一些很好的批量功能,例如将一个文件夹里所有文件全部压缩成独立的压缩包,然后删掉源文件(怎么样,是不是很像ransomware?),如果希望触发安软对crypto API的监视,还可以启用压缩包加密功能

测试结果:

我们来构思一个场景,小明同学要给小红发一系列网页图片,可是邮箱要求每个附件大小不超过500k。于是小明决定用修改版winrar把mydocument/picture里面的文件分别压缩后以附件的形式传给小红。

假设小明同学是趋势的用户:
在小刚同学的提醒下,小明同学突然想起来似乎打开了趋势保护文件夹的选项,于是他关闭了文件夹保护,再次运行winrar,发现趋势还是杀了

小明欲哭无泪

如果小明是BD的用户:

小明慌了,心想:没看到什么弹窗啊?
机智的小刚提醒小明说他电脑上的BD默认是auto pilot,于是小明跑去看了一下:

小明被迫做了一道yes/no的选择题才得以正常压缩文件

假设小明是AVG的用户:



……

如果小明是gdata,卡巴,ESET的用户:
不用小刚出场,小明已经发完邮件收到小红的的确认回执了


总体来说,测了一圈发现某些杀软宣传的勒索保护要么无脑误报,要么需要人工介入,当然也有一路通行无阻的情况

我个人认为一些需要人工介入的保护/误杀厉害的产品在一些情况下可能严重牺牲了易用性,他们更多情况下是厂商免责的手段。背后的道理很简单,我可以把一个ransomware伪装成批量修改图片的程序,用户运行会遭遇弹窗确认是否允许访问敏感文件夹。那么这时候是点允许还是不允许?毕竟访问敏感文件夹(例如picture)的确是用户本身的授意,但是用户同时又不确定这个程序在访问后是否会达成自己所预期的目的。而如果用户选择了放行发现文件被加密了,那么这是用户的锅(这种谴责被害者蠢、傻、活该的行为在某些地方并不少见)。反过来,如果文件本身是无害的,那么安软带来的这一系列虚惊就成为了用户的使用负担
如果时间允许的时候尚可“小心驶得万年船”,如果时间不允许的时候(例如小红已经电话call过来催稿的时候)那该如何选择?

判断ransomware的确不简单。你可以说winrar也可以被当成ransomware来用,例如一个熊孩子用你电脑的时候用winrar批量加密压缩了你的文件并删除了源文件,这类似ransomware
但如果厂商只凭借探测到批量文件修改行为就报毒(例如趋势的那种傻瓜策略)显然很无脑
厂商可以进一步收紧侦测特征,例如大量修改文件的基础上,调用系统crypto API才可疑,但是这仍然无法规避winrar批量加密压缩时候的问题(同时黑客也可以写自己的encryption routine)
再进一步收紧特征,在修改文件、使用crypto API的基础上,如果侦测到删除卷影备份的行为才报毒。
可惜如果我是ransomware作者发现了这点,那么我就不删除卷影备份/用猥琐的方法绕过呗……

从这个案例可以看出,从易用性的角度来看,勒索防护仍旧缺乏突破。当然有人可以忍受这一切误报和询问,我从个人角度出发觉得一些厂商这么做比较搞笑。用户花钱让杀软帮忙判断文件好坏,杀软却把问题又抛了回来,身为普通用户的我会觉得很无语

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6人气 +6 收起 理由
FUZE + 1 666
784696777 + 1
pal家族 + 1 版区有你更精彩: )
fireherman + 1 I love you!! (奸笑)
KK院长 + 1 勒索防护我现在是数据备份。

查看全部评分

cloud01
头像被屏蔽
发表于 2017-8-16 11:19:09 | 显示全部楼层
勒索到底是哪个贱人发明的,还有比特币,真是一对好兄弟  ,防勒索关键是禁止比特币。
Gollum
发表于 2017-8-16 11:20:36 | 显示全部楼层
BD已经把文件保护从勒索防护模块中移出了
B100D1E55
 楼主| 发表于 2017-8-16 11:23:08 | 显示全部楼层
cloud01 发表于 2017-8-16 11:19
勒索到底是哪个贱人发明的,还有比特币,真是一对好兄弟  ,防勒索关键是禁止比特币。

crypto currency还是有积极意义的。类似BT和盗版的关系,不能因为防盗版就禁止BT,这是因噎废食
B100D1E55
 楼主| 发表于 2017-8-16 11:23:57 | 显示全部楼层
Gollum 发表于 2017-8-16 11:20
BD已经把文件保护从勒索防护模块中移出了

不清楚新版情况。我是前两天刚从官网下载安装的,总之是普通用户默认情况
桑德尔
头像被屏蔽
发表于 2017-8-16 11:26:39 | 显示全部楼层
非常赞同,我也觉得那种全程弹弹弹的,要它何用呢,到头来还得我自己来判断
cloud01
头像被屏蔽
发表于 2017-8-16 11:40:50 | 显示全部楼层
B100D1E55 发表于 2017-8-16 11:23
crypto currency还是有积极意义的。类似BT和盗版的关系,不能因为防盗版就禁止BT,这是因噎废食

比特比存在的意义是什么?现在好像没什么积极作用,黑产到是用的很开心。
B100D1E55
 楼主| 发表于 2017-8-16 11:43:07 | 显示全部楼层
cloud01 发表于 2017-8-16 11:40
比特比存在的意义是什么?现在好像没什么积极作用,黑产到是用的很开心。

最基本的来说交易匿名化有助于保护隐私,每一笔账都被大机构盯着并不一定是好事,当然还有很多其他价值。这类似于端对端加密聊天,恐怖分子可以用,正常人却也有需求。
B100D1E55
 楼主| 发表于 2017-8-16 11:48:20 | 显示全部楼层
桑德尔 发表于 2017-8-16 11:26
非常赞同,我也觉得那种全程弹弹弹的,要它何用呢,到头来还得我自己来判断

我一直觉得过分询问用户的安全软件应该被称作“系统控制软件”,毕竟那种除了底下监控部分的工程成分之外,判断往往是最原始的“手写规则”……而且行为控制表面上似乎控制感很强,具体到信息传输之类的不去抓包/解密也不知道是在做什么,到头来不自己亲自去挖一些细节还是绕不过图灵机的局限
solstice1988
发表于 2017-8-16 12:01:28 | 显示全部楼层
全程弹弹弹问问问和压根不弹直接提用户决定的都不是好杀软,个人以为好杀软判断勒索还是用户主动行为应该盯好关键步骤,只用1个或是2个窗口询问用户你在做的是不是你自己主动意愿的选择,如果用户确实如楼主所说属于正常的分段压缩,杀软得到用户认可那就对合理的动作放行好了。如果用户只是在看图片,哪只要不是太笨,应该知道杀软突然提醒的分段压缩动作有问题,杀软得到用户反馈表示并没有在压缩文件,那就阻止相关的动作就好了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:40 , Processed in 0.143151 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表