楼主: B100D1E55
收起左侧

[讨论] 沙箱针对性逃逸对策

  [复制链接]
B100D1E55
 楼主| 发表于 2018-6-11 12:05:25 | 显示全部楼层
191196846 发表于 2018-6-11 11:46
是的,其实我个人不看好本地动态启发

虽然有非常多优势,但是其短板实在是太明显了:模拟执行带来的性 ...

大厂都在往云走,包括ESET也早废了New Heur PE之类的检出而改用云沙盒+人工来处理这类新毒。其实回头想想这种本地“高启发”检出只会增加误报而对于检出新兴恶意程序并无卵用,因为黑客要是知道自己的作品被市占率高的产品检出New Heur肯定会回炉重改直到不报为止,这就是杀软信息不对称上的困境。有了云之后明显好多了。

至于你说特征提取,其实动态启发才是提取的最深的,静态或多或少会有问题。我觉得ESET等坚持动态启发必然有自己的理由(比如误报等)。不过你说的性能问题是确实存在的。比如我试了一下火绒的启发,虚拟执行可以跑10亿次counter loop不腰疼,但是代价就是扫描那个文件耗时奇长无比……更不用说如果动态启发引擎自己有漏洞,那么执行的时候可能恶意代码还会借此直接高权限执行,WD的引擎已经不知道被捅了多少次了,ESET以前也被发现过这类问题

APC上传5秒应该是用大模型静态检出。我认为APC流程大致上是这样的:本地如果没检出,1)先提取基本的特征向量传云端,如果映射到难搞定的检测区域,2)那么上传整个文件提取以在云端提取更多特征向量用大模型hash,3)如果还是映射到难搞定的区域就跑动态沙盒。所以估计你那个样本估计在步骤2就被检出了

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 今天人气都给你了;期待更新(你挖的坑)逃.

查看全部评分

Picca
发表于 2018-6-11 12:05:27 | 显示全部楼层
本帖最后由 Karna 于 2018-6-11 12:21 编辑

感觉红伞这个就真的是策略优势了,但不知道非脚本小子怎么看了,CIA倒是说要红伞不怎么难过,难绕过的BD最近就真的是有点迷了。感觉民用安软还是难做,要考虑的东西太多了,坐看最近狂减病毒库的卡巴
wangkaka
发表于 2018-6-11 12:09:32 来自手机 | 显示全部楼层
bd的启发看来是纯静态了,在很早以前360曾买了bd的启发库,那是后bd就是纯静态启发,现在这么久了,还是这样,唉。。不过这种在线沙盘有时候真的有很多逃逸方法,如果是自己实机,eset的内存扫描可以很好的应对。但个人的机器也没法放这些检测方法。性能和效果没法兼得啊
驭龙
发表于 2018-6-11 12:17:47 | 显示全部楼层
本帖最后由 驭龙 于 2018-6-11 12:23 编辑
B100D1E55 发表于 2018-6-11 11:24
前一段忙成狗,然后进入咸鱼状态,这两天由于和别人刚好讨论到这个问题心血来潮写了一下,估计马上又要进 ...
编辑掉

支持新作

评分

参与人数 1人气 +1 收起 理由
B100D1E55 + 1 hhhh

查看全部评分

B100D1E55
 楼主| 发表于 2018-6-11 12:19:31 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-6-11 12:27 编辑

yes! 编辑掉
Jerry.Lin
发表于 2018-6-11 12:19:56 | 显示全部楼层
B100D1E55 发表于 2018-6-11 12:05
大厂都在往云走,包括ESET也早废了New Heur PE之类的检出而改用云沙盒+人工来处理这类新毒。其实回头想想 ...

我倒是没见过(3)……至少我看不出来

红伞MISS的样本貌似要手动上报才杀(不过很少MISS,国内某语言不杀除外),没碰到双击一个样本过了隔三四分钟回头杀的情况(跟缓存也有关系)

日志可以看出来,红伞检测到一个文件在cache里有记录,就直接skip云查了,可能也是为了性能考量
was found in the cache; the Protection Cloud scan was skipped

误报有一部分是靠白名单的(还是日志)
FP reports status 'NO False Positive' for


期待测试APC呐,想了解下用什么方法测试?
B100D1E55
 楼主| 发表于 2018-6-11 12:21:38 | 显示全部楼层
欧阳宣 发表于 2018-6-11 12:01
好厉害,膜拜。您现实中是学这部分的专业么?我data science方向都觉得这些东西好高阶

并不是,我的专业其实离这块有点距离,不过crypto/signal/os这类基础课还是学过的,所以平时瞎读这类资料问题不大
驭龙
发表于 2018-6-11 12:21:40 | 显示全部楼层
B100D1E55 发表于 2018-6-11 12:19
嘿嘿是的,求别暴露我马甲2号

放心,我不会说的,另外人气稍后,今天的没有恢复呢
欧阳宣
头像被屏蔽
发表于 2018-6-11 12:21:42 | 显示全部楼层
APC强力是没错,但是作为红伞的最后防线我自己是没法放心的,会配合mbam来用,有一点基于静态规则的类hips防护在里面。红伞加了sensor detection之后我从没在双击时见过报法,这也不知道好坏了。

1256我双击样本时都碰到了,但是后面了触发条件一多就感觉样本会隐藏的很深。会不会有这样一种服务,允许企业按照自身情况向厂商提交自己端点的一个典型环境,然后允许厂商针对性为这个企业设定一系列启发特征或者阈值呢?相当于我这个杀软的定制版本是专为这个企业而做的。
B100D1E55
 楼主| 发表于 2018-6-11 12:24:24 | 显示全部楼层
Karna 发表于 2018-6-11 12:05
感觉红伞这个就真的是策略优势了,但不知道非脚本小子怎么看了,CIA倒是说要红伞不怎么难过,难绕过的BD最 ...

其实如果能反向估测出判毒依据(比如熵值特征之类的),免杀红伞我相信不难。一般来说表层二进制免杀统计特征等问题都不大,自己可以写工具混淆,而真正比较难的是行为层的免杀。这也是为什么一些杀软坚守动态不动摇。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:27 , Processed in 0.095499 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表