楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
wangkaka
发表于 2017-11-25 01:06:57 | 显示全部楼层
欧阳宣 发表于 2017-11-25 00:55
那如果直接通过比对文件不同区块里面的局部熵值不就破了这种混淆么?又想伪装为png又想完全把payload的形式 ...

js查杀一直是个难题,最主要很多js文件也算不上毒,就是调用系统进程联网下病毒,本身没有危害。。所以eset对js入库特别谨慎,有的根本不入库,就杀js下载的文件。。
wangkaka
发表于 2017-11-25 01:11:02 | 显示全部楼层
B100D1E55 发表于 2017-11-25 01:03
我印象中几年前看到过一篇文章讲解怎么绕过SONAR的预执行沙盘,通过一些简单的反向侦测手段

正是因为 ...

我觉得这个方法不错。。可是个人如果使用这方法,性能消耗有的大。。。
B100D1E55
 楼主| 发表于 2017-11-25 01:14:40 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-25 01:22 编辑
欧阳宣 发表于 2017-11-25 00:55
那如果直接通过比对文件不同区块里面的局部熵值不就破了这种混淆么?又想伪装为png又想完全把payload的形式 ...

数据文件没法做任何assumption,图片局部熵值异常很可能是图片的图案本身就那样。况且我还可以用其他更好的隐写方法把熵值降低或者均匀到其他像素里面,所以熵值检测最多局限在能够做assumption的文件(比如PE某些地方熵值高说明可疑)

说实话启发式真是越来越艰难了。大量恶意程序的“恶意”早已经不是指行为本身,而是这个行为和用户intention的差异。就这点而言,恶意程序查杀越来越往真实世界的法律裁决靠拢(不仅看行为结果,更要判断行为的意图),变成了一个纯机器难以解决好的问题。其实看ESET报毒也知道,这几年大量的报毒是初期的混淆手段,而不是恶意程序实际的行为。一些旁敲侧击的手段,比如信誉之类的也能辅助让结果更精确,但总还会有对应的缺点和局限性

我个人觉得js这类脚本的混淆很难进行机器学习。一方面是这类脚本的混淆方法更多(不需要过编译器的那层,更加可控),另一方面是很多正常脚本为了防止吃瓜群众逆向或者减小体积也做了uglify/minify的处理。除非有什么特别好的表层特征,否则脚本沙箱还是最好的手段
B100D1E55
 楼主| 发表于 2017-11-25 01:21:06 | 显示全部楼层
wangkaka 发表于 2017-11-25 01:11
我觉得这个方法不错。。可是个人如果使用这方法,性能消耗有的大。。。

他们有专门的沙盘服务器跑样本,类似hybrid-analysis那种。基本上这种APT系统先是检测异常,然后自动把样本传到公司内部沙盘上跑。而且这种沙盘比共有沙盘好不少,能够灵活切换各个版本的软件(特别是flash,java之类的洞王),捕捉漏洞攻击。
不是人
发表于 2017-11-25 07:51:10 | 显示全部楼层
PanzerVIIIMaus 发表于 2017-11-24 17:40
我觉得你应该先复习一下    熵    是用来干啥的,比如高中化学

高中化学没学过熵啊
不是人
发表于 2017-11-25 07:52:19 | 显示全部楼层
B100D1E55 发表于 2017-11-25 00:04
https://corte.si/posts/visualisation/entropy/index.html

谢谢,搜的时候没看英文的页面
Miostartos
发表于 2017-11-25 09:53:02 | 显示全部楼层
B100D1E55 发表于 2017-11-25 00:07
DP绝对是见光死的检测手段,不能过的很可能要么作者太懒,要么作者太菜

关键还影响用户操作
这才是最要命的
欧阳宣
头像被屏蔽
发表于 2017-11-25 10:02:41 | 显示全部楼层
B100D1E55 发表于 2017-11-25 01:14
数据文件没法做任何assumption,图片局部熵值异常很可能是图片的图案本身就那样。况且我还可以用其他更好 ...

那就又回到根据信誉动态调节启发或者判定的阈值老路么……而且还是只能针对PE文件

要是在大型或者常见的编译器进行编译代码时就注意到类似企图就好了
cloud01
头像被屏蔽
发表于 2017-11-25 10:11:55 | 显示全部楼层
欧阳宣 发表于 2017-11-25 00:31
劝你五百次了,只放行白名单,注入怎么办?白加黑呢?这些问题不愿意去考虑,居然还以为自己固若金汤,还 ...

我只放行系统程序,其他程序对系统程序的注入一律阻止。这样有问题吗?
欧阳宣
头像被屏蔽
发表于 2017-11-25 10:13:25 | 显示全部楼层
cloud01 发表于 2017-11-25 10:11
我只放行系统程序,其他程序对系统程序的注入一律阻止。这样有问题吗?

你能把所有注入是否不带恶意全部判断清楚?连大厂杀软的智能主防都不敢这么说吧

你这段反应我记得半年前就有,看来真是朽木不可雕
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:12 , Processed in 0.095847 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表