从简单案例看多层防御的重要性

l88888866

学习了  感谢楼主

B100D1E55

wangkaka 发表于 2017-11-24 08:44
eset的高级内存扫描颗粒度还是不够，我测试时同一家族还是有被过的可能。。至于卡巴最近云使用的也 ...

同一家族不代表代码相近。如果ESET的打分靠的是特定API离散程度等等指标，那么复杂的混淆（或者类似中间语言即时编译）应该有可能过，而且ESET内存扫描以内存页为单位，外加初次扫描后会入缓存，这个颗粒度会不会导致问题也不得而知

B100D1E55

wangkaka 发表于 2017-11-24 08:47
sonar应该不是沙盘类的，sleep函数挂起的样本过不了唢呐。而且沙盘类，就不会出现sonar杀了勒索但文件还 ...

那大概是我对现在的SONAR有什么误解……毕竟上次用赛铁已经是5年前了，那时候基本上是初期触发，而且严重拖慢程序启动速度，除了network query猜测是有预执行沙盘在活动
查了一下，持续性监测始于SONAR4代，而我在3代后就再也没碰过赛铁产品

"With 2012 we are introducing SONAR Policy Enforcement – We now have the ability to convict a suspicious process based on a behavioral “profile.” To create these profiles, an analyst looks at the 500+ attributes that SONAR tracks and make a series of associations. For example, let’s say a particular process tried to access the system folder and tried to call home, but does not have any running UI. Also, it downloaded more than 15 files the previous day. Any one of these things alone may not be “bad” but taken as a whole, the behavioral profile is bad. The analyst will therefore make a rule that says if we see this string of behaviors, then we should stop the process from executing. Doing all of this is a big deal--we aren’t just looking at what the process does on your computer, we are also looking at its communication characteristics! Sonar 4.0 also introduces protection against Non Process Threats (NPTs). As the name suggests, these threats are not active processes by themselves, but they inject themselves into legitimate active processes. SONAR 4.0 technology is able to much more aggressively remove threats on pre-infected machines."

B100D1E55

不是人 发表于 2017-11-24 15:51
熵可视化工具是什么工具，搜了一下没有准确的结果

https://corte.si/posts/visualisation/entropy/index.html

B100D1E55

jefffire 发表于 2017-11-24 18:56
SONAR现在还是主要依靠动态启发么？ 好像行为分析的成分越来越多了。几年前跟踪SONAR过程的时候发现，大 ...

对对，我对SONAR的印象差不多停留在你说的那个时代，基本是pre-exec杀，那时候局限性非常大。
查了一下，SONAR4代开始加入了behavior profile。我只用过3代为止的，2代更是弱的不行

B100D1E55

STCn1000 发表于 2017-11-24 15:29
DP的问题很大
时间过短，严重影响正常操作以及检出率实在是不行
还是乖乖用IDP的好。

DP绝对是见光死的检测手段，不能过的很可能要么作者太懒，要么作者太菜

欧阳宣

cloud01 发表于 2017-11-24 10:37
我有自建白名单，系统开机必须进程我都放进白名单了，AMS的理念也是看多步调用来判断，不过不是真正执行 ...

劝你五百次了，只放行白名单，注入怎么办？白加黑呢？这些问题不愿意去考虑，居然还以为自己固若金汤，还在别人面前装自己很有见解的样子。

又扯AMS。“AMS的理念也是看多步调用来判断”？你把AMS全拼看了一遍就该知道AMS的本质是扫描而不是行为判断，你还单步多步，还“不是真正执行”的“多步调用”咧，笑死。我建议你不要不懂装懂，再强行混淆多层防御里面不同的分支了。

ESET的hips没有白名单的话自动模式和智能模式弹窗会和交互模式一样多，你受得了么……livegrid搞了这么多年，一个干净电脑里的系统进程信誉当真eset不会收集，hips智能模式的帮助文件我不知道你看过没有。

“Smart mode – The user will only be notified about very suspicious events.”

仅对极可疑行为报警，那不加白名单svchost很多行为就很可疑，eset是怎么不提示的？显然有自己的内部判断逻辑，不光是白名单。

我是真不明白你怎么做到一边说自己一直在用eset一边好像完全对eset一无所知的。你第二个号混的时间都快跟第一个号一样长了，咋就是当真一点长进都没有……

wangkaka

B100D1E55 发表于 2017-11-25 00:02
那大概是我对现在的SONAR有什么误解……毕竟上次用赛铁已经是5年前了，那时候基本上是初期触发，而且严重 ...

以前sonar我记得是收购了哪个公司的预执行沙盘主防，所以初代应该是沙盘类，后来可能发现这个法子太蠢了，就走持续性检测了。现在就连小a都放弃了沙盘预执行，是个病毒现在都检测虚拟机，反调试，沙盘很蛋疼。。

欧阳宣

那如果直接通过比对文件不同区块里面的局部熵值不就破了这种混淆么？又想伪装为png又想完全把payload的形式打散但不影响图片观感好像挺难的，你以前帖子里是不是写过cylance就有类似的判断

层数多了如果检测方式单一就……难说，我觉得。行为，特征，信誉这些方面我觉得缺一不可。APC或者cylance这类只检测PE文件的特性让bat/vbs/js->powershell/cmd/svchost这一步直接就……红伞会对js暴力入库，但是一般会显得很滞后，跟入库钓鱼一样。

有对js层面的混淆进行机器学习的可能性么？

B100D1E55

wangkaka 发表于 2017-11-25 00:55
以前sonar我记得是收购了哪个公司的预执行沙盘主防，所以初代应该是沙盘类，后来可能发现这个法子 ...

我印象中几年前看到过一篇文章讲解怎么绕过SONAR的预执行沙盘，通过一些简单的反向侦测手段

正是因为现在逃逸虚拟机、hypervisor的样本越来越多(据Symantec数据，14到15年检测hypervisor的样本就从18%涨到了28%)，因此Symantec针对企业的APT系统（貌似叫什么Cynic）的私有云沙盘还得在实机的一个限权模式下跑，然后自动比对虚拟环境内外的行为差别进行启发分析……