搜索
查看: 19471|回复: 40
收起左侧

[技术原创] 简单介绍Cylance和CylanceProtect

  [复制链接]
欧阳宣
发表于 2017-5-24 11:42:27 | 显示全部楼层 |阅读模式
本帖最后由 欧阳宣 于 2017-5-24 12:01 编辑

太长不看党可以直接看彩色字体部分。

红色字体:cylance及其产品的优点
蓝色字体:cylance及其产品的缺点


虽然这家公司估计这辈子都不会进入国内发展业务,但是作为炫耀机器学习最早也最跳的几个厂商之一,样本区的成绩已经证明了cylance的实力是不容小觑的。正好今天我用来测试的机器第一次双击勒索翻车,顺便就来写写CylanceProtect和这家充满争议的公司。走过路过的各位不妨回个帖加个分,有版主看得上的话烦请加个精呗。










Part1.CylanceProtect简介
Part2.下面说说cylance
Part3.问答环节

评分

参与人数 7分享 +2 人气 +7 收起 理由
root1605 + 1
屁颠屁颠 + 2 + 1 版区有你更精彩: )
wjy19800315 + 1 版区有你更精彩: )
ericdj + 1 版区有你更精彩: )
驭龙 + 1 版区有你更精彩: )

查看全部评分

欧阳宣
 楼主| 发表于 2017-5-24 11:42:47 | 显示全部楼层
本帖最后由 欧阳宣 于 2017-5-24 12:07 编辑

Part1.CylanceProtect简介




虽然cylance这家公司听起来名气还很小,而且体量也不大,但是这家公司的成立倒是2012年的事了。公司的CEO Stuart McClure在2004年创立了一家安全咨询公司Foundstone,这家公司在2004年被mcafee收购,他本人也进入mcafee开始担任首席技术官。又后来到了2012年,Stuart McClure离开咖啡,联合当时在咖啡的一位病毒技术大牛 Ryan Permeh一起创立了Cylance。有传闻说这个公司还挖走了一批咖啡内部当时在做主防的成员。如今这家公司的估值已经接近独角兽级别,是近几年一批同时宣传机器学习的下一代反病毒方案的厂商中混得不错的一个。

Cylance的拳头产品是CylanceProtect,它是一个本地负责检测威胁的部件,公司其他的服务都是围绕它展开或者为其作补充。从检测机制上来讲,CylanceProtect(以下简称CP)内置一个包含机器学习算法的甄别引擎,这个引擎会根据文件的多个(官方宣称超过两百万个)特征来判定是否有害,如果是则将其隔离。这个甄别引擎有一个离线的版本,这使得CP在断网下的检测率也有足够的保证。这个离线版本每三四个月才会更新一次。云端的部分被称为infinity engine,是一个更大体量的决策模型,负责在联网时提供更准确的判断。

楼主自己拿到的授权其实也不是完全的版本。由于现在CP只有企业级服务,个人用户只能在代{过}{滤}理商那里购买个人授权。通过第三方的授权商(比如楼主所向其购买的MalwareManaged,以下简称MM)购买以后,每一位用户其实就只是这个MM授权商的受控端,很多事没有办法自己调整和确定。比如如果你想要从设备上删除CP,你需要先跟MM发邮件,使得本地端点的权限打开,删除才能继续。其他比如脚本防御策略,漏洞防护策略的调整就更不用想了。不过如果对设置根本不想了解的话,CP确实也是一个装上就可以不管的方案,孰优孰劣,各位需要自己权衡。
从本地来讲CP界面是很简陋的,和VSE有的一拼。不过所有该有的东西也不缺。

2017-05-23 21_43_27-.jpg

第一个分页threat显示的是所有已经检测的威胁列表。Exploit显示的是所有遭受并拦截的漏洞类攻击列表。Events显示所有事件信息,包括排除的误报,以及本地引擎检测但云端解除检测后恢复到本地的文件。Script和External device分别显示的是脚本类攻击和外部设备(其实主要针对的是USB设备)的攻击,楼主自己在双击时后两个都没有遇到。

2017-05-23 21_44_36-.jpg
右键点击托盘图标,可以看到常见的操作,检测程序更新和策略更新,调整日志级别,删除本地隔离区文件等等。
这里要提到一个CP和其他反病毒很不一样的地方,那就是手动扫描的方式。CP既没有右键扫描,也没有传统意义上的全盘扫描。平常的主动扫描方式是两种。Background detection默认是开启的,CP会在电脑闲置时慢慢自己扫描,扫描的范围和文件类型我自己暂时无法得知。那么想要针对性扫描的话,只能选定runa detection on a specific folder。这样可以选择性扫描某一个文件夹。
2017-05-23 21_55_42-.jpg
然后一个文件会在什么层面被CP检测?实时监控(File watcher),执行时监控(Execution Control),以及上面提到的两种手动扫描。还有一点,CP只检测可执行文件,漏洞攻击,脚本攻击。

本地端很简陋,但是控制台就不是这样了。就算楼主所属的用户组属于普通用户而不是管理员,CP的网页界面也提供了很丰富的信息。
2017-05-23 22_04_48-Greenshot.jpg
首页显示了按时间轴显示的威胁分布,以及样本被远程分类之后的类别分布(Trojan,ransom,adware,bot等等)。
2017-05-23 22_11_57-CylancePROTECT _ Dashboard.jpg
第二分页是显示了所有被检测的威胁,按时间排序,你可以查看每一个威胁的VT结果,cylance的打分,威胁的优先级(官方有一套自己的判定规则,比如这个威胁如果还停留在内存中,优先级就会变得很高)以及后续处理过后给出的分类。下面可以选择手动排除文件,以及文件详细的信息。
2017-05-23 22_16_24-CylancePROTECT _ Threats.jpg
2017-05-23 22_17_29-CylancePROTECT _ Threats.jpg
第三分页Zones指的是设备的分组管理,跟咖啡epoCloud里面的workgroup类似。第四分页指的是当前账户下的所有设备,这两个分页的功能和安全关系不大,也有可能是因为楼主的账户权限不是很够。
2017-05-23 22_25_30-CylancePROTECT _ Zones.jpg 2017-05-23 22_25_38-CylancePROTECT _ Devices Overview.jpg
内存占用我截了两个版本,大家选自己看得懂的那个看吧
2017-05-23 22_07_12-Document1 - Word.jpg 2017-05-23 22_06_31-Process Explorer - Sysinternals_ www.sysinternals.com [JEFF-.jpg




CPU和硬盘占用一直是很低的,安装好之后的整机流畅度也十分好,有可能是因为CP除了检测本地威胁之外,其他传统安软的功能,比如



防火墙,防钓鱼,主防,密码管理器,手机助手,摄像头防护,软件管家,主页锁定,勋章墙,随身wifi,某connect,加速球,启动项管理,垃圾清理,沙盒



一概都没有罢。


检测率?奇高无比。这十天我拿一台机子无脑双击了差不多有七八十个样本,无论是直接杀勒索的exe还是双击各种doc,js,wsf,rtf杀下载的payload都是如此。直到这个帖子 http://bbs.kafan.cn/forum.php?mod=viewthread&tid=2090661&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline之前,没有一个js或者exe可以成功加密我的机器。而且误报算是在自己能接受的范围,可以在网页控制台容易地排除。


那么以上就是cylanceprotect的大概情况。

评分

参与人数 1人气 +1 收起 理由
4毛5的诺顿 + 1 版区有你更精彩: )

查看全部评分

欧阳宣
 楼主| 发表于 2017-5-24 11:43:05 | 显示全部楼层
本帖最后由 欧阳宣 于 2017-5-24 12:00 编辑

Part2.下面说说cylance

Cylance在对外宣传时非常强调自己的机器学习算法如何如何牛逼,同时还很喜欢打压许多传统的反病毒厂商以及他们所采用的被认为是“落后”的检测方式,比如特征码,启发,主防,MD5拉黑之类。这种进攻性的宣传策略使得cylance在业界的名声其实不是很好。


在扩大自己的知名度的过程中,cylance其实干过很多砸别人场子的事。

比如在一两年前,cylance会经常举办美国国内的巡回讲演,展示自己出众的检测率,同时顺便打压一下一些企业安全产品的巨头,比如sophos就经常被拿来躺枪。但是在有一次演示之中,cylance被场下的观众揪住马尾,原来cylance为了突出自己产品,会把用来对比的sophos的默认防护给关掉,而一旦开启之后,sophos的效果是比CP要好的。Sophos知道了这件事后,联系了一家cylance的授权商,购买了CP,在两家都防护全开的情况下重新做了对比,并把视频放到网络。Cylance知道这件事后,开始威胁这家授权商将取消其销售资格,同时拒绝再向sophos提供自己的哪怕是演示版本的产品。

第三方测评机构对CP的评价一直不怎么好,cylance干脆在去年起诉了AVC和mrg-effitas,称它们的那种不符合真实世界情况的测试方法并不能真实反映CP的水平。诉讼结果目前还不得而知。

铁壳也一直对CP的检测率嗤之以鼻,因为CP只能检测PE文件,对其他格式的文件的检测率当然都是0。

小厂商在创建初期,样本池的丰富过程其实是个问题。Cylance对外从来宣称自己的模型修正没有借助比如VT的帮助,但是reddit的一个匿名帖子透露很多使用了机器学习的厂商是会利用VT的样本池来作为自己模型的train set的,cylance也不例外。不过VT最近开始拒绝厂家只利用VT的结果而不对VT做出贡献,这或许也是比如webroot和endgame这类厂家纷纷开始加入VT的原因。


Part3 问答环节

评分

参与人数 2人气 +2 收起 理由
windows7爱好者 + 1 PY一下
pal家族 + 1 精品文章

查看全部评分

见朕骑妓的时刻
头像被屏蔽
发表于 2017-5-24 11:58:41 | 显示全部楼层
可惜的是没有中文
Gollum
发表于 2017-5-24 12:05:56 | 显示全部楼层
和单位的加密软件一样,卸载还要先申请
360Tencent
发表于 2017-5-24 12:30:40 | 显示全部楼层
您好有钱啊
驭龙
发表于 2017-5-24 12:32:35 | 显示全部楼层
似乎还有个Zero什么的组件,有那个才能算得上完整的保护功能,仅Cylance并不强,只是查杀还可以,防御方面功能并不完整吧?
欧阳宣
 楼主| 发表于 2017-5-24 12:35:44 | 显示全部楼层

不敢不敢,被挖苦的滋味还是不好受,还请您收手,或者我把自己机子的名字P掉也行

买授权是因为当年这个代{过}{滤}理商有八折的优惠码
欧阳宣
 楼主| 发表于 2017-5-24 12:40:36 | 显示全部楼层
驭龙 发表于 2017-5-24 12:32
似乎还有个Zero什么的组件,有那个才能算得上完整的保护功能,仅Cylance并不强,只是查杀还可以,防御方面 ...

ThreatZERO好像和检测没有关系,属于saas那种,负责响应和修复对系统的破坏

你这么一说好像是有点不完整……
驭龙
发表于 2017-5-24 12:42:21 | 显示全部楼层
欧阳宣 发表于 2017-5-24 12:40
ThreatZERO好像和检测没有关系,属于saas那种,负责响应和修复对系统的破坏

你这么一说好像是有点不完 ...

看官方列表好像只有搭配Zero才是完整防御,不过具体不清楚,没有玩过
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 14:33 , Processed in 0.098484 second(s), 22 queries .

快速回复 返回顶部 返回列表