小紅傘的防護方式有改變嗎?

munsimli

前幾天用筆記本裝上紅傘pro版測試，版本號為15.0.24.146，Real-protection與
Web-protection均設置為偵測到時拒絕存取，在毒網區到處逛逛後遇到如下情形

以hxxp://mariamnagarghs.edu.bd/1/pw_c.exe 這個網址測試

1.Chrome 瀏覽器可以儲存exe檔，但紅傘日誌顯示發現惡意程式碼，封鎖檔案


2.瀏覽器下載資料夾中也發現該檔案


3.以右鍵掃描該檔案檢測報告顯示發現，卻也顯示略過


記得以前紅傘應該是檢測到病毒網頁會於瀏覽器頁面顯示有毒並封鎖的訊息，帶毒
檔案則會封鎖不會下載到電腦裡(設定為拒絕存取時)

上面的情況是因為新版本處理方式有變更嗎? 另為何有毒病毒下載到電腦後偵測到
卻又顯示略過呢?

Eset小粉絲

防護方式貌似沒改過，Chrome游覽器攔截網頁不會顯示紅傘專屬攔截頁面，我覺得Chrome可以裝上Browser Safety所以才沒設計吧（大概是要讓用戶裝上吧，，，但Web Protection依舊能攔截網頁鏈接。若樓主嘗試用Edge的話，紅傘專屬攔截頁面是有的。

Web Protection日記中檢測到鏈接有毒，但爲何不攔截，依舊可以下載exe檔，我也搞不清了。但有想過要去問一問官方，但又沒那個心了。。。

jmkbird

chrome难搞定啊，这才安全

猪头无双

如果在文档或程序中内含病毒的话，一般来说，下载会封锁拦截，但是也有一定概率会随着安装包直接下载下来，因为只要你不运行exe、病毒就不会发作，和死的是一样的

munsimli

Eset小粉絲 发表于 2016-12-18 23:13
防護方式貌似沒改過，Chrome游覽器攔截網頁不會顯示紅傘專屬攔截頁面，我覺得Chrome可以裝上Browser Safety ...

Web-Protection針對有毒網頁會有2種方式: 網頁直接顯示訊息或屏蔽掉但日誌中可見
(也不知道為何會有這樣的差別，我倒覺得第一種的方式是比較好的視覺顯示)



之前筆記本提到的顯示檔案封鎖仍會下載，掃描後發現病毒會略過的情形官方已修正，
昨天以台式機裝上pro版以同一個檔案測試，右鍵掃描後已經會移至隔離區

另又發現有個摸不著官方想法的改變: 一個檔案下載並報毒隔離之後，假設原儲存路徑
是A資料夾，要再次下載這個檔案就不能儲存在A夾，只能另選資料夾(見圖，台式機
第一次下載在"Home"，掃毒隔離後第2次就不能存在"Home"裡)，這是什麼道理啊?
毒檔不是應該直接拒絕存取或隔離嗎?


再從某個毒檔的紅傘防護過程來看一下:
1.一開始Web-protection已偵測到有毒檔案，依設定應該要拒絕存取


2.可是檔案依然下載到電腦哩，需要使用者自行右鍵掃描隔離


3.再次下載時Web-protection依然偵測到


4.最後卻是靠Real-protection去拒絕存取同個檔案，貌似仍有下載只是過程中拒絕
   存取，有種流量掃描的感覺出現


記憶中舊版的紅傘在偵測到網頁毒檔時第一時間即會依設定拒絕存取，不會下載到
電腦中，會下載的應該都是沒偵測到的，若本地查殺也掃不出來就肯定中獎了

此次改版卻似乎有著不小的改變，猜不透官方的想法是什麼? 首先是不直接擋下毒檔，
在毒網區測試大部分exe都可以存到電腦裡，然後以右鍵查殺才會隔離掉，實機沒有
勇氣去雙擊執行，若病毒過了實時保護可能會後悔莫及

接下來已經下載過一次毒檔還設計了一個讓用戶可另選資料夾的視窗再拒絕存取，是
要教育用戶這樣的視窗訊息代表檔案有毒還是教訓用戶啊? 實在摸不著頭緒

是否有大神可以解說一下這樣的機制是怎樣的防護理念嗎? 跟攔截點的設置(不知是否
有改變，對這項不懂)是否有關係呢?

@猪头无双

猪头无双

被@到，我简单说一下我的看法，毕竟好久没有用到红伞了。

就我个人来看。分别回答一下你的几个问题吧

1. 你说的home文件夹无法再次存储同样文件，必须另外换其他文件夹另存，这种现象我没遇到过，或许是新版红伞的特色修改，放弃回答

2. 第二个例子说一下为什么会有两种结果

i. 你第一次从网上下载的是某个exe程序，这个时候这个程序是整体被下载的（参考截图7里的报毒对象），而不是像idm那样分段下载之后再合并文件，这时你的exe文件中内嵌的恶意代码红伞能检测到，但是无法修复，只能是放行下载，但是你如果不运行exe文件，则这个内嵌病毒无法发作；而你再次扫描的时候，exe文件内嵌病毒再次被扫到，[color=Red]这时候的隔离是针对整个exe程序的隔离，所以手动扫描检测到

ii. 第二次你再次下载同样exe程序的时候，还是被网页防护侦测到，因为还是exe程序，所以整体报毒；但是第二次下载的时候，下载下来的是临时文件，对临时文件的报毒，我的猜想是这样的：

1）第一次下载是整体下载，第二次是分段下载，之后到本地进行合并，在这个过程中每个分段的部分都是可能被单独侦测到，并导致下载失败的。比如你这个exe 在第二次被分成 part1、part2、part3三个部分单独下载，之后在本地合并（这个例子就像把一个压缩包分成若干部分，下载下来之后再次解压还是一个完整文件一样）。在这个过程中part1含有病毒代码，被单独下载到本地之后，本地报毒，后续下载中断。

但是这种设想的最大漏洞在于，为什么同一个软件会第二次分成部分、第一次却整体下载呢？所以这种看法我只能认为比较玄虚。

2）更有可能的是第二种：第一次下载，网页防护报毒，而程序未被封锁，因为是整体下载。但是在下载后，右键扫描之前的这几秒钟时间，红伞的APC云应该是上传了一段关于这个程序的特殊代码（比如MD5，当然有可能更复杂）而这段代码被迅速入库，再反馈回来，这时正好是你第二次下载刚开始的时候，所以迅速本地监控将下载封锁，导致下载未完成，只是对临时文件报毒。

我个人觉得第二种猜想更能贴近现实一点吧。

至于你说下载时exe为什么不是阻止下载而是下载到本地之后再由右键解决。我觉得是这样的思路：

首先，网络防护对某程序报毒，但是因为红伞的启发在，有可能会带来误报。那么如果这个程序恰恰是用户需要的，而又被红伞给阻断下载，受损失的应该是用户。所以先放任程序下载，同时迅速传递文件相关信息到云端进行二次的确认与反馈，如果确实有毒，这时候用户的安装行为也可能才刚刚开始，还来得及阻断。如果确认误报，本地监控也不再反应。


当然，以上是我的猜想，至于是不是符合现实，我就不好说了。不过看红伞现在这么大力发挥APC的优势，想来应或许是“虽不中亦不远矣”。如果有相关的白皮书，相信解释起来会更容易，也更准确些吧

munsimli

猪头无双 发表于 2016-12-19 18:51
被@到，我简单说一下我的看法，毕竟好久没有用到红伞了。

就我个人来看。分别回答一下你的几个问题吧

謝謝你的技術交流，也很認真的閱讀了你的看法，越覺得沒有官人或者白皮書的說明
還真的只能瞎子摸象去猜測原理呢

我還是有著一些不懂的點，若是鑽牛角尖的想法還望見諒，如你2-i所說的，我覺得很
玄的是紅傘Web-protection在第一時間檢測到exe內有惡意代碼，是已經有把握它就
是個惡意程式才有這樣的訊息嗎?

1.若是的話為何不是全面禁止下載? 或者在下載完畢後Real-protection立即隔離呢?

2.若不是的話，為何不在下載過程中(或者下載完畢後)立即擷取程式某段代碼(或者
    特徵碼)上傳APC，就算已經進入電腦裡面了，但依照立即反饋的結果(如果雲夠
    快的話)，還是可以讓Real-protection立即隔離

PS:W-p=Web-protection，R-p=Real-protection，S-s=System scanner

既然已經W-p已經判斷是惡意程式碼，下載行為卻又放行，以我的測試R-p也沒有
任何立即反應，是用戶S-s時才有動作，如你的第二種猜想，紅傘怕攔截到的確實是
用戶需要的程序，難道紅傘能篤定就算用戶沒有針對檔案掃描，若真的是惡意程序，
也能在程式一被執行的最初R-p就能完全封鎖住?! 若是還要經過一道APC判斷與反
饋的程序，要是被過或者像近期的勒索病毒加密速度飛快，那可是會災情慘重耶，
提早做出適當的處理不是會更好嗎?

所以我覺得第一次下載放行第二次卻攔截的機制真的很懸疑，如果你的判斷是對的，
在第一次整體下載時已經過W-p的一次偵測與APC二次的確認與反饋(且W-p偵測有
惡意，S-s也確認無誤，表示紅傘的機制裡早在S-s這個動作前已確認該程序為惡意)，
是否應該立即在下載完成後，依照反饋結果做出適當的防護處理對用戶比較安全

畢竟絕大多數的用戶下載完後就執行程序的機率大、二次下載同個檔案的機率較小，
APC的響應若是有如此快速的優勢，攔截程序的時間點往前似乎是更安心的感覺，
以前紅傘這樣的一個防護方式似乎是個能讓用戶較為安心的順序呢

猪头无双

munsimli 发表于 2016-12-19 20:29
謝謝你的技術交流，也很認真的閱讀了你的看法，越覺得沒有官人或者白皮書的說明
還真的只能瞎子摸象去 ...

我一直觉得网络防护和实时监控调用的是不同的程序组件，仿佛二者是互相独立，而不是联动的。但是大部分情况看来，二者联动的可能更大

再有你提到为何不在下载时递交代码，我觉得部分下载的时候，即使递交代码也是一部分，而不完整，到时候引起误报更麻烦。

aaa839

munsimli 发表于 2016-12-19 16:38
Web-Protection針對有毒網頁會有2種方式: 網頁直接顯示訊息或屏蔽掉但日誌中可見
(也不知道為何會有這 ...

簡單回答
第一種為網頁防護的Web Filter(webcat) 報毒情況
而相對有安裝Avira Browser Safety都會看見此畫面
此為網頁過濾器 Web-Filter 報毒情況

第2種就是
下載病毒檔案,但webcat沒有相關資料
但是引擎和VDF偵測到為危險)
Web protection便會自動彈窗提醒相關檔案是危險
但選了denied access後,相關連接應該會正常被中斷並出現第一種畫面情況

另答
為何只能儲存a不能儲存b是因為被即時防護的通用修復鎖死了

jmkbird

aaa839 发表于 2016-12-21 10:35
簡單回答
第一種為網頁防護的Web Filter(webcat) 報毒情況
而相對有安裝Avira Browser Safety都會看見 ...

是不是可以这么理解，pro版的avira的web protection即使在chrome下防护功能就是avira browser safety extension加上realtime protection。为了防止可能的web protection卡网现象，可以禁用该组件，启用插件加本地防护，基本效果是一样的？