从简单案例看多层防御的重要性

wangkaka

欧阳宣 发表于 2017-11-25 00:55
那如果直接通过比对文件不同区块里面的局部熵值不就破了这种混淆么？又想伪装为png又想完全把payload的形式 ...

js查杀一直是个难题，最主要很多js文件也算不上毒，就是调用系统进程联网下病毒，本身没有危害。。所以eset对js入库特别谨慎，有的根本不入库，就杀js下载的文件。。

wangkaka

B100D1E55 发表于 2017-11-25 01:03
我印象中几年前看到过一篇文章讲解怎么绕过SONAR的预执行沙盘，通过一些简单的反向侦测手段

正是因为 ...

我觉得这个方法不错。。可是个人如果使用这方法，性能消耗有的大。。。

B100D1E55

欧阳宣 发表于 2017-11-25 00:55
那如果直接通过比对文件不同区块里面的局部熵值不就破了这种混淆么？又想伪装为png又想完全把payload的形式 ...

数据文件没法做任何assumption，图片局部熵值异常很可能是图片的图案本身就那样。况且我还可以用其他更好的隐写方法把熵值降低或者均匀到其他像素里面，所以熵值检测最多局限在能够做assumption的文件（比如PE某些地方熵值高说明可疑）

说实话启发式真是越来越艰难了。大量恶意程序的“恶意”早已经不是指行为本身，而是这个行为和用户intention的差异。就这点而言，恶意程序查杀越来越往真实世界的法律裁决靠拢（不仅看行为结果，更要判断行为的意图），变成了一个纯机器难以解决好的问题。其实看ESET报毒也知道，这几年大量的报毒是初期的混淆手段，而不是恶意程序实际的行为。一些旁敲侧击的手段，比如信誉之类的也能辅助让结果更精确，但总还会有对应的缺点和局限性

我个人觉得js这类脚本的混淆很难进行机器学习。一方面是这类脚本的混淆方法更多（不需要过编译器的那层，更加可控），另一方面是很多正常脚本为了防止吃瓜群众逆向或者减小体积也做了uglify/minify的处理。除非有什么特别好的表层特征，否则脚本沙箱还是最好的手段

B100D1E55

wangkaka 发表于 2017-11-25 01:11
我觉得这个方法不错。。可是个人如果使用这方法，性能消耗有的大。。。

他们有专门的沙盘服务器跑样本，类似hybrid-analysis那种。基本上这种APT系统先是检测异常，然后自动把样本传到公司内部沙盘上跑。而且这种沙盘比共有沙盘好不少，能够灵活切换各个版本的软件（特别是flash，java之类的洞王），捕捉漏洞攻击。

不是人

PanzerVIIIMaus 发表于 2017-11-24 17:40
我觉得你应该先复习一下    熵    是用来干啥的，比如高中化学

高中化学没学过熵啊

不是人

B100D1E55 发表于 2017-11-25 00:04
https://corte.si/posts/visualisation/entropy/index.html

谢谢，搜的时候没看英文的页面

Miostartos

B100D1E55 发表于 2017-11-25 00:07
DP绝对是见光死的检测手段，不能过的很可能要么作者太懒，要么作者太菜

关键还影响用户操作
这才是最要命的

欧阳宣

B100D1E55 发表于 2017-11-25 01:14
数据文件没法做任何assumption，图片局部熵值异常很可能是图片的图案本身就那样。况且我还可以用其他更好 ...

那就又回到根据信誉动态调节启发或者判定的阈值老路么……而且还是只能针对PE文件

要是在大型或者常见的编译器进行编译代码时就注意到类似企图就好了

cloud01

欧阳宣 发表于 2017-11-25 00:31
劝你五百次了，只放行白名单，注入怎么办？白加黑呢？这些问题不愿意去考虑，居然还以为自己固若金汤，还 ...

我只放行系统程序，其他程序对系统程序的注入一律阻止。这样有问题吗？

欧阳宣

cloud01 发表于 2017-11-25 10:11
我只放行系统程序，其他程序对系统程序的注入一律阻止。这样有问题吗？

你能把所有注入是否不带恶意全部判断清楚？连大厂杀软的智能主防都不敢这么说吧

你这段反应我记得半年前就有，看来真是朽木不可雕