搜索
查看: 18874|回复: 332
收起左侧

[分享] 你抄我抄大家抄,抄抄更欢乐(完结)

  [复制链接]
B100D1E55
发表于 2018-6-13 20:14:20 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2018-7-7 14:34 编辑

本帖是这篇https://bbs.kafan.cn/thread-2124940-1-1.html 的衍生产品
感谢@wangkaka 同学的启发,这个测试非常有意思。此篇请勿转载到本坛之外的地方,特别是什么X乎之类的

先说一下来龙去脉:

在写原帖的时候我的样本被E家自动机入库了,但是我发现可以反过来根据入库的特征构造一个样本,它纯粹是白文件,但是也会被E家报毒(这时候算为误报)。然后wangkaka同学建议可以用这个样本上传到virustotal看看有没有厂商剽窃ESET的检出

顺带一提,VT上剽窃风盛行不假,给出实锤却也不容易,这次变量控制的很严格说服力更强一点不是吗
这个测试我还要做一段时间,所以先把sha256隐去免得对我的实验产生干扰


现在来汇总一下结果,这个测试由于一开始没有很好地设计实验,所以用了好几个样本导致有点混乱,现在依序归纳一下我观测到的东西和对应的想法:
1. 带毒样本+条件判断:也就是条件炸弹,这个的确是黑文件。上传VT后在超过24小时漫长的空窗期后ESET、Dr.Web、安博士才开始检出,而如今超过48小时后变成了这样:

24小时检出:
24h.png
24小时后到目前为止的检出(27家厂商):
48h.png
刚刚0615 01:00UTC刷新后,结果:
ult_fen.png
基本而言最初有几家可靠的检出了之后,后面的厂商就如同雨后春笋般的出现了

2.带毒样本+无执行路径:这个样本和1的唯一区别在于,加密的毒在PE里,但程序主体只写了一个空文件其他什么都不干,理论上无害
clean_infected.png

刚刚0615 01:00UTC刷新后,结果:
const_f_update.png

顺带一提,这个就是卡巴UDS光速拉黑的样本,不过卡巴有能光速拉黑这个,怎么没光速拉黑1呢?

首先1报毒2不报的有DrWeb,ESET(虽然ESET在第二张截图里也有,但是因为关了LiveGrid黑文件复检,根据之前同类样本的结果姑且算一下),NANO-AntivirusK7Antivirus, TACHYON,姑且称其为现阶段尚有节操组
反过来2报毒1不报的有Cyren

然后是两个都报的,这里谅解两个都报毒的,因为内嵌了加密的ransomware数据,如果静态扫出来了加密数据那也没话说。姑且算其杀了恶意程序的资源文件,但记住:理想情况下应该杀利用那个恶意文件的程序

其中1的入库最快的是DrWeb,安博士,ESET,而2初始检出外入库/拉黑最快的是Avast,然后是卡巴

3.不带毒+能让ESET误报的几行代码
这个程序行为有点怪,但我个人认为实质上没触及红线,无非就是注册了窗口控件、写了个文件。我刚才扔Hybrid-Analysis上跑了一下,也没有什么可疑行为

这个报毒的有……
nano_trend.png
ESET虽然最初误报开头的“混淆行为”,一天后ESET的报毒自动消失了。说明ESET的LiveGrid在杀了我编译的白文件之后在云端进行过复检,发现是误报后修正了这个混淆器定义(原来那个恶意程序仍旧会报毒)。难怪LiveGrid对报毒的文件也要进行telemetry,难怪ESET误报这么低

4. 哈哈对照组
之所以称为哈哈对照组,是因为我意识到之前测试手段的混乱,思考了一下打算尝试新的养肥方法。新的养肥方法就是:我从零开始默写一个完全无害的程序,包含能让ESET误报的几行代码(其实就是个写空文件的程序)。我用一些方法tweak了一下,用完全相同的代码和完全正常的编译器和参数生成了两份exe,一份能被ESET误报,一份不能。两份都是同一个正规编译器直出,没有任何混淆成分。这么做主要是想考察一个ESET的误报究竟能引诱多少厂家跟着误报,从而追踪到吃白食不付钱的厂家,现阶段结果如下,误报数量稳步增加中:其中被ESET报毒的称为文件A,而不被ESET报毒的称为文件B。为了证明一下这文件真的很白,贴上VT沙盒的行为报告:
behav.png
写入的内容我记得应该是“abcabc”之类的

文件A:
A.png
我描述一下按时间顺序的检出变化趋势:最初是ESET和Cylance误报,然后是CrowdStrike,然后是McAfee,然后是TrendMicro Housecall,然后是Ikarus和红伞,然后是BD。这个链条中谁抄谁就耐人寻味了
紧接着的跟屁虫顺序:MAX(当VT检出变多后MAX的ai score也变高了,厉害厉害),Cyren,AegisLab,K7,微软,赛门铁克,Sophos机器学习,Sophos普通检测,Comodo,熊猫,趋势正式库,赛门铁克ML,NANO,QuickHeal,Zillya,瑞星,Avast(AVG),奇虎360
一个可靠大厂的误报带出了36家误报

“最终”结果截图(或许还有可能增加,不过我的跟进到此为止):

Final_u.png

文件B:
b.png
描述一下变化趋势:最初是红伞和Cylance误报,xxx小时后只增加了CrowdStrike。之后雷打不动。看来红伞并没有成为被众人借鉴的对象
文件B至7月7日检出仍旧是一开始的三家

看来E家的检出真的很受大家喜爱呢……


感想(纯粹是我个人观点,为了防止被吞我用图片):

0.png
1.png

这里学习雪姨的语气婊一下:你有本事评测拿高分,你有本事别抄别人鉴定结果啊!

以ESET和Kaspersky两个独立的鉴定机构为中心,用上述对照组测试和这个误报链接来画一张Venn图就是这么回事: venn (1).png
落在中间的厂商……你懂的
中间的厂商因为这样的做法,误报更可能比不在中间的厂商高,不知道是否符合你日常的误报体验呢?

相关报道:
https://eugene.kaspersky.com.cn/ ... -no-good-parasites/
https://www.securityweek.com/vir ... ti-malware-industry






评分

参与人数 27分享 +3 魅力 +1 人气 +30 收起 理由
不知道这是剑 + 1 interesting
970137957 + 1 666
我要打十個 + 1 版区有你更精彩: )
碎玉醉 + 1 版区有你更精彩: )
利刀1937 + 1 版区有你更精彩: )

查看全部评分

wangkaka
发表于 2018-6-13 20:26:32 | 显示全部楼层
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了
B100D1E55
 楼主| 发表于 2018-6-13 20:28:35 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:26
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了

搞得我想@191196846 同学 红伞云分类好的部分真相
momng
发表于 2018-6-13 20:28:56 | 显示全部楼层
只能是说入库迅速,不能明说“抄抄抄”,只是有点不动naozi入库。
renyifei
发表于 2018-6-13 20:29:28 | 显示全部楼层
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较高,要不然哪有这么多厂家抄抄抄
B100D1E55
 楼主| 发表于 2018-6-13 20:31:11 | 显示全部楼层
renyifei 发表于 2018-6-13 20:29
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较 ...

用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子
renyifei
发表于 2018-6-13 20:32:53 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:31
用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子

哈哈哈,我倒是不担心ESET会倒闭,毕竟也是一家世界级大公司,估计在斯洛伐克也有什么政策支持和优待
wangkaka
发表于 2018-6-13 20:33:52 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:28
搞得我想@191196846 同学 红伞云分类好的部分真相

大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。
renyifei
发表于 2018-6-13 20:36:46 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:33
大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。

不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软
wangkaka
发表于 2018-6-13 20:38:26 | 显示全部楼层
renyifei 发表于 2018-6-13 20:36
不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软

红伞和我电脑八字不合,我这电脑无论什么系统装上去病毒库加载不起来
以前只在家里面的老旧电脑玩过一个月

B100D1E55
 楼主| 发表于 2018-6-13 20:41:25 | 显示全部楼层
momng 发表于 2018-6-13 20:28
只能是说入库迅速,不能明说“抄抄抄”,只是有点不动naozi入库。

说的没错,就是无脑。这样一个helloworld级别的程序,只要有个沙盘都能跑出来,这种都敢入库不是无脑是什么
renyifei
发表于 2018-6-13 20:41:36 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:38
红伞和我电脑八字不合,我这电脑无论什么系统装上去病毒库加载不起来。
以前只在家里面的老旧电脑 ...

我觉得所有主流国外杀软中只有ESET和卡巴最合口味了
wangkaka
发表于 2018-6-13 20:45:50 | 显示全部楼层
renyifei 发表于 2018-6-13 20:41
我觉得所有主流国外杀软中只有ESET和卡巴最合口味了

嘛,我也只买了这两家产品,和WD换着用。。。楼有点歪以后私聊谈
191196846
发表于 2018-6-13 20:56:59 | 显示全部楼层
本帖最后由 191196846 于 2018-6-13 20:58 编辑

哈哈哈有理由换红伞喽……但是俺不忍心呢~

原来是这样啊,那APC嘛……嘻嘻,神话破灭

不过一个样本代表不了什么,接下去的那个一定更有趣

Do more test. There is only one truth  --- Conan


今晚样本包马上就出了,继续看下情况

2605276004x
发表于 2018-6-13 20:57:29 | 显示全部楼层
本帖最后由 2605276004x 于 2018-6-13 21:07 编辑

前排吃瓜
这个CrowdStrike Falcon 90%confidence有趣
AVAST&AVG这骚操作不过至少比无脑入库好
B100D1E55
 楼主| 发表于 2018-6-13 21:04:05 | 显示全部楼层
191196846 发表于 2018-6-13 20:56
哈哈哈有理由换红伞喽……但是俺不忍心呢~

原来是这样啊,那APC嘛……嘻嘻,神话破灭

avast也被逮到了哈哈,见主楼更新
191196846
发表于 2018-6-13 21:07:12 | 显示全部楼层
B100D1E55 发表于 2018-6-13 21:04
avast也被逮到了哈哈,见主楼更新

啊,疯狂给你加分

可以我没RQ了


静待结果

你可以把链接发出来么?便于实时刷新
wangkaka
发表于 2018-6-13 21:07:49 | 显示全部楼层
本帖最后由 wangkaka 于 2018-6-13 21:08 编辑
B100D1E55 发表于 2018-6-13 21:04
avast也被逮到了哈哈,见主楼更新

Avast我丝毫不惊讶,以前玩的多了,一直跟着别家屁股后面拉黑
倒是其他几个看eset改了又改回去了avast真是后知后觉
aboringman
发表于 2018-6-13 21:07:51 | 显示全部楼层
除了红伞我很意外,其他几家完全没有感觉

趋势随便改个MD5就可以花样过,没办法
B100D1E55
 楼主| 发表于 2018-6-13 21:08:34 | 显示全部楼层
191196846 发表于 2018-6-13 21:07
啊,疯狂给你加分

可以我没RQ了

暂时不发,我还在测国内几家,怕有人蹲点,我大概每个小时会更新一次(如果结果有变化的话)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-8-22 14:00 , Processed in 0.067064 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表