ESET防勒索锁库测试

B100D1E55

ESET自动模式下似乎是个没有主防的废柴，样本区也天天看到Miss，真的这么不堪么？本来是打算写一篇ESET和机器学习的帖子，快写完的时候我浏览器崩溃了，文字全消失了，内心也随即崩溃了……于是为了缓解心情随手做了一下这个有意思的测试。将ESET库锁在3月9日，如下图：

依次测试从3月8日开始到5月11日毒区的勒索样本，在这里特别感谢每天供应新鲜样本的网友，特别是Agu，Dolby123，petr0vic这几位孜孜不倦地跟踪ransomware趋势的同学。
测试全程断网，使用EAV10，开启反勒索，HIPS为自动模式。

说实话我一开始不抱什么期望的，但是测完之后还是有点惊喜，结果如下：
总数即当日样本数量，检测为总检测数（即报毒，部分被加密也算），AMS为高级内存扫描报毒，入库特征即通过在库特征报毒，反勒索HIPS即通过反勒索模块报毒。剔除了不会加密的样本。根据样本最后修改日期（而非发帖日期）归类到下面表格的日期栏里

日期	总数	检测	AMS	入库特征	反勒索HIPS
3-8	5	5	0	5
3-9	1	1	1（部分加密）
3-10	10	10	5	2	3 （均部分加密）
3-11	2	2	2
3-12	2	2		1	1 （部分加密）
3-13	5	5	4		1 （部分加密）
3-15	9	8	8 （1个部分加密）
4-5	2	2	2
4-17	2	2	2
4-18	4	2	2
4-19	3	1	1
4-20	5	5	4	1
4-21	1	1		1
4-27	1	1	1
5-5	1	1	1
5-11	2	1	1

这里不统计百分比，主要原因是因为百分比在这里没有意义——样本数量太小，而且同一个包中可能存在大量重复变种，等等
但这里可以看到几个有意思的现象：
1） HIPS和反勒索模块并没有在打酱油


事实上他们出现的次数并不少。我的观察是反勒索模块更多的是监控已知恶意软件行为特征，基本上如果AMS被过了，最后一道防线就是这个，代价是部分文件被加密
2）ESET的AMS极为重要
很多人还在用4.2或者老的企业版，从这个测试可以看到如果没有AMS的话ESET前摄性检测是很悲惨的（右键扫描/开高启发也没有用的）。4.2没有AMS模块，所以快升级吧
AMS是杀变种的主力！现在几乎所有的勒索都需要较长的运行时间（半分钟到一分钟）才会在内存中现形。由此可以看到Avast那种短时沙盘，或者MSE较弱的启发引擎面对这些都会比较吃力。AMS应该算ESET加入HIPS后最重要的一个进步，在性能几乎没有折损的情况下做到全程监控内存页，就算ransomware用了很多混淆但只要在内存中decloak就会被查出，大大增加了检出率。3月初的库也能检测出5月份所有Cerber的变种/混淆exe
3）面对新威胁仍旧有局限性，更新很重要
其实这点是大部分杀软仍旧面对的问题，为了控制误报的无奈之举。这里值得注意的是3月15日miss的一个是cryptoshield的一个新变种，行为和传统cryptoshield很不一样。4月18日miss的两个是Sage 2.2新变种。很神奇的是4月才开始出现的Jigsaw就已经被3月初的ESET特征库检出（4月21日那天），报的是Confuser。5月11日miss的是新的Jaff ransomware，预料之内。剩下的有几个样本没有加密行为……需要进一步研究就暂时不放上来了。总体而言，基本上Cerber，Spora，Cryptoshield的所有新变种用陈年老库都能杀
4）ransomware越来越狡猾
测试过程中发现有一些ransomware故意不加密windows默认自带的图片和视频文件。这么做目的很明显，有的很挫的分析沙盘偷懒不添加自己的mi-guan文档（payload security免费版大概就这样），而ransomware又不加密系统自带文档，也就没有ransomware行为从而逃过自动机检测

总之强烈建议未来样本区右键miss的时候虚拟机双击试试看
顺带一提今天翻论坛的时候发现自己大概不算ESET老用户……我今天才知道ESET自我保护规则是连同系统关键部分一起保护的，然后才知道HIPS加了一个smart模式（虽然还是没什么用……）

fireherman

占位，求顶置。

测试环境：WinXP SP3（未打补丁）
杀毒软件：ESET-NOD32 ess 8 [v15375]（病毒库强制不更新，保留在WannaCry爆发前）
防火墙：ESS（开启IDS全部检测/交互模式（有可疑弹窗选择【阻止】））主要测试项目
HIPS：智能模式（除了【备份文档保护外，全部选择默认】）
样本：http://bbs.kafan.cn/thread-2088953-1-1.html


结果相当的惨烈……

@而我到底是谁   @KK院长   @驭龙   @B100D1E55   


防御失败

截图：






















只有HIPS保护的【备份文档】免遭毒手……

（包括【手动保护规则】和【ESET自保规则（保护自身）】）

但WannaCry依然不停尝试加密，正好给我截图的时间。

ys0516

用的EAV测试？

B100D1E55

ys0516 发表于 2017-5-19 15:42
用的EAV测试？

是的，EAV10，因为我自己就在用EAV

ys0516

B100D1E55 发表于 2017-5-19 15:44
是的，EAV10，因为我自己就在用EAV

我还以为EAV防不住勒索呢

B100D1E55

ys0516 发表于 2017-5-19 15:49
我还以为EAV防不住勒索呢

EAV除了没防火墙外其他功能基本上是全的。。不然对不起那个价格

ysj963

用eset，不乱安装不正规软件倒是不怕，怕就怕用破解软件的时候出问题。

B100D1E55

ysj963 发表于 2017-5-19 15:58
用eset，不乱安装不正规软件倒是不怕，怕就怕用破解软件的时候出问题。

我倒觉得很方便啊。对于普通用户来说，由于ESET低误报，基本上报毒的都该删（报风险的也飞常准），剩下不确定的扔沙盘跑，或者上传在线沙盘看一看也行。这样做不少恶意程序基本都能躲过。早年我用诺顿的时候天天加排除，到后面就差把毒一起排除了

ysj963

B100D1E55 发表于 2017-5-19 16:01
我倒觉得很方便啊。对于普通用户来说，由于ESET低误报，基本上报毒的都该删（报风险的也飞常准），剩下不 ...

普通用户只要是不打游戏的 ，用ESET都没什么问题。。他们也不会装破解软件 哈哈。ESET是的客户基数很好。跑沙盘 ，估计只有卡饭这种地方的人才会干了，ESET本地勒索防护还是太菜，检出率没有卡巴、诺顿、ATC高，不过比国产的还有其他软件好太多。但是P版卖400多不太好！

驭龙

现在的Ransomware Shield大部分是基于交互式询问的，因此官方下一步会改进这方面的问题，会在ESET Endpoint Security V7版本中融入，而且是在今年发布EES V7 BETA