MRG EXPLOIT AND POST-EXPLOIT TEST

Picca

由Sophos委托和赞助的漏洞测试，自家的 Intercept X 也参加了.

漏洞攻击常用于APT攻击中 ，Drive-by download 是最常见的一种形式 。在漏洞利用中，基于浏览器和Office的攻击是最受欢迎的 ，该测试仅研究杀软缓解各种漏洞攻击的能力，不涉及其它防护。测试为离线测试，后面的测试流程较专业，就不翻了

3.1 Test system setup
Microsoft Windows versions used:
• Microsoft Windows 7 Professional x64 (6.1.7601 Service Pack 1)
• Microsoft Windows 10 Pro (10.0.16299 Fall Creators Update)

3.2 Security Applications Tested
• McAfee Endpoint Security with Threat Protection (version 10.5.3; Threat Protection version: 5.0.6.220)
• Symantec Endpoint Protection (version: 14 [14 UR1 MP2])
• Trend Micro Smart Protection for Endpoints (Agent Version: 6.3.1215/13.1.2054; Scan Engine: 10.000.1043)
• CrowdStrike Falcon Prevent (version: 4.4.6711.0)
• Sophos Intercept X (version: 2.0.2)
• SentinelOne Endpoint Protection (version: 2.1.2.6003)
• Microsoft Windows 10 Professional with Defender Antivirus (Fall Creators Update)
• Microsoft Windows 10 Professional with Defender, Exploit Guard (Fall Creators Update)
• Product A (included anonymously by agreement with the vendor)

Understanding Grade of Pass
• LEVEL 1  The product performed as expected to get a positive result in the test. In most cases, this means the product blockedthe exploit or attack technique. In false positive tests, it means the product did not block the test sample’s execution.In the case of Microsoft Windows10 configuration, if the attack is not possible on Windows 10 anymore due tohardening steps of Microsoft, we counted these as Level 1 as well.

• LEVEL 2  The product blocked the test case before any malicious activity was performed by the sample or before we reachedthe main part of the test. For example, in some cases test samples were blocked because we used PowerShell orother tools, not because of test-relevant activities or the presence of the exploit protection feature.

• Disputed  We used this flag when test was failed but vendor was totally sure about that the certain test case should have beenblocked by the product. Maybe the result was influenced some configuration issue.

• MISSED  The product did not detect the attack and did not block it. We were able to execute our proof of concept codebefore the process had been terminated (if it was terminated at all)

https://www.mrg-effitas.com/wp-c ... loit_Protection.pdf

dongwenqi

没卡巴么

Picca

dongwenqi 发表于 2018-5-30 20:47
没卡巴么

没有，估计怕了，Sophos的HMPA在这方面基本是碾压其它安软的。

HEMM

微软和趋势让我惊呆了.......

feiren

https://www.mrg-effitas.com/wp-c ... _10_symantec_en.pdf
两年前还是Symantec最高，比sophos高
https://www.mrg-effitas.com/wp-c ... t-February-2014.pdf
四年前卡巴最高，跟Symantec相近
https://www.mrg-effitas.com/wp-c ... loit_Protection.pdf
LZ的帖子的详细报告，看到一个Product A，这是谁呢？相比Symantec低一点，卡巴？BD？ESET？这三个有exploit blocker

Picca

feiren 发表于 2018-6-5 11:38
https://www.mrg-effitas.com/wp-content/uploads/2017/01/avc_mrg_biz_2016_10_symantec_en.pdf
两年前还 ...

https://www.mrg-effitas.com/wp-c ... _10_symantec_en.pdf
这个测试中的是sophos endpoint ，本帖测试的是Intercept X ，不是一个产品
https://www.mrg-effitas.com/wp-c ... t-February-2014.pdf  这个exploit测试的内容和本帖测试是不一样的，请仔细看

feiren

Karna 发表于 2018-6-5 13:03
https://www.mrg-effitas.com/wp-c ... _10_symantec_en.pdf
这个测试中的是sophos endpoint ，本帖测试 ...

2014是不同内容，都在第三方软件上，2018年侧重系统上，也有部分软件Firefox
传统产品Sophos Endpoint应该跟主流一个水平（按以前的测试），Inetercept X估计是融合HPMA技术的产品吧？
14和16年都是年代久远的测试

Picca

feiren 发表于 2018-6-5 13:16
2014是不同内容，都在第三方软件上，2018年侧重系统上，也有部分软件Firefox
传统产品Sophos Endpoint应 ...

这次的漏洞测试更加侧重于利用方法上，14那个侧重于访问真实环境的漏洞攻击URL上，不能说哪个更好吧，但我认为这次的测试内容更加的全面和系统，能模拟出更多情况，但是14那个可能更贴近实际。Sophos Endpoint 按照官方的建议是搭配Inetercept X一起使用的，算是套装吧。

feiren

Karna 发表于 2018-6-5 13:56
这次的漏洞测试更加侧重于利用方法上，14那个侧重于访问真实环境的漏洞攻击URL上，不能说哪个更好吧，但 ...

粗略看了一下Sophos官网，Endpoint才是正常产品（有特征码），Int X像HMPA，单用X估计没能力应付传统威胁
14年的都是第三方软件，其实保持更新，应该问题不大，JAVA除外吧，记得哪个新闻说常见第三方漏洞，JAVA超半数，但是不用就没事了
18年侧重系统，没拦截就可能影响大些，像永恒蓝那些，虽然win10强制补丁能堵住已知的，但是未知的可能要看看杀软能缓解一些，毕竟系统每个人都在用
现实里，可能第三方软件反而弱点大些，不少人都在用旧版，不怎么更新adobe之类，反而系统win10强制，及时一些，但是APT难说
该补丁该更新，做了还是中招的话

Picca

feiren 发表于 2018-6-6 10:21
粗略看了一下Sophos官网，Endpoint才是正常产品（有特征码），Int X像HMPA，单用X估计没能力应付传统威胁 ...

java基本不可能不用的，网站的很多功能依赖于它，浏览器上必须得用，我觉得大部分的java 0day 威胁来自浏览器。经常更新浏览器，普通用户基本就可以应对了。