搜索
查看: 9613|回复: 281
收起左侧

[分享] 你抄我抄大家抄,抄抄更欢乐 (平稳期)

  [复制链接]
B100D1E55
发表于 2018-6-13 20:14:20 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2018-6-22 02:15 编辑

本帖是这篇https://bbs.kafan.cn/thread-2124940-1-1.html 的衍生产品
感谢@wangkaka 同学的启发,这个测试非常有意思。此篇请勿转载到本坛之外的地方,特别是什么X乎之类的

先说一下来龙去脉:

在写原帖的时候我的样本被E家自动机入库了,但是我发现可以反过来根据入库的特征构造一个样本,它纯粹是白文件,但是也会被E家报毒(这时候算为误报)。然后wangkaka同学建议可以用这个样本上传到virustotal看看有没有厂商剽窃ESET的检出

顺带一提,VT上剽窃风盛行不假,给出实锤却也不容易,这次变量控制的很严格说服力更强一点不是吗
这个测试我还要做一段时间,所以先把sha256隐去免得对我的实验产生干扰


现在来汇总一下结果,这个测试由于一开始没有很好地设计实验,所以用了好几个样本导致有点混乱,现在依序归纳一下我观测到的东西和对应的想法:
1. 带毒样本+条件判断:也就是条件炸弹,这个的确是黑文件。上传VT后在超过24小时漫长的空窗期后ESET、Dr.Web、安博士才开始检出,而如今超过48小时后变成了这样:

24小时检出:
24h.png
24小时后到目前为止的检出(27家厂商):
48h.png
刚刚0615 01:00UTC刷新后,结果:
ult_fen.png
基本而言最初有几家可靠的检出了之后,后面的厂商就如同雨后春笋般的出现了

2.带毒样本+无执行路径:这个样本和1的唯一区别在于,加密的毒在PE里,但程序主体只写了一个空文件其他什么都不干,理论上无害
clean_infected.png

刚刚0615 01:00UTC刷新后,结果:
const_f_update.png

顺带一提,这个就是卡巴UDS光速拉黑的样本,不过卡巴有能光速拉黑这个,怎么没光速拉黑1呢?
理想情况下严谨的杀软应该对1报毒,而对2不报毒,这里看看1和2现阶段检出结果差异:

首先1报毒2不报的有DrWeb,ESET(虽然ESET在第二张截图里也有,但是因为关了LiveGrid黑文件复检,根据之前同类样本的结果姑且算一下),NANO-AntivirusK7Antivirus, TACHYON,姑且称其为现阶段尚有节操组
反过来2报毒1不报的有Cyren

然后是两个都报的,这里谅解两个都报毒的,因为内嵌了加密的ransomware数据,如果静态扫出来了加密数据那也没话说。姑且算其杀了恶意程序的资源文件,但记住:理想情况下应该杀利用那个恶意文件的程序

其中1的入库最快的是DrWeb,安博士,ESET,而2初始检出外入库/拉黑最快的是Avast,然后是卡巴

3.不带毒+能让ESET误报的几行代码
这个程序行为有点怪,但我个人认为实质上没触及红线,无非就是注册了窗口控件、写了个文件。我刚才扔Hybrid-Analysis上跑了一下,也没有什么可疑行为

这个报毒的有……
clean_e.png

Update 01 UTC23:00:
ms.jpg
恭喜微软和SophosML加入误报全家桶!
Update 02 UTC02:40:
symantec.png
恭喜Symantec入库,此外Sophos正式入库Update 03 UTC13:30:
ann.png
安博士入库,直接抄了微软的毒名……
panda.png
猫熊童鞋入库。。
nano_trend.png
趋势入库、NANO入库……

4. 哈哈对照组
之所以称为哈哈对照组,是因为我意识到之前测试手段的混乱,思考了一下打算尝试新的养肥方法。新的养肥方法就是:我从零开始默写一个完全无害的程序,包含能让ESET误报的几行代码(其实就是个写空文件的程序)。我用一些方法tweak了一下,用完全相同的代码和完全正常的编译器和参数生成了两份exe,一份能被ESET误报,一份不能。两份都是同一个正规编译器直出,没有任何混淆成分。这么做主要是想考察一个ESET的误报究竟能引诱多少厂家跟着误报,从而追踪到吃白食不付钱的厂家,现阶段结果如下,误报数量稳步增加中:其中被ESET报毒的称为文件A,而不被ESET报毒的称为文件B。为了证明一下这文件真的很白,贴上VT沙盒的行为报告:
behav.png
写入的内容我记得应该是“abcabc”之类的

文件A:
A.png
我描述一下按时间顺序的检出变化趋势:最初是ESET和Cylance误报,然后是CrowdStrike,然后是McAfee,然后是TrendMicro,然后是Ikarus和红伞,然后是BD。这个链条中谁抄谁就耐人寻味了


Update 01
upd_ult.jpg
新结果,增加了MAX, 文件B继续维持三家检出

Update 02
cyren.jpg
新增Cyren。。。我就静静地看你们表演。作为对照样本,文件B仍旧只有三家检出

Update 03

aegis.png

恭喜AegisLab入库,为你撒花,为你喝彩

Update 04

k7-ul.png

睡一觉后发现k7跟进了…………顺带一提,刷新了一下对照样本B,仍旧是三家检出,哈哈

Update 05

ms_ul.jpg

哈哈对照组热烈欢迎微软的加入。作为对比,文件B仍旧是3家检出

Update 06

sym_ul.jpg

Symantec正式加入哈哈对照A队

Update 07

sophosml_ul.jpg

Sophos机器学习引擎入库,B文件继续三家检出


Update 08 & 09

comodo_ul.png

Sophos正式入库,我偷懒先不截图了。
此外刚才看了一下,Comodo也入库了
至此4系列样本的检出基本上已经赶上3了。要知道4和3除了样本细微区别之外很大的一个区别在于3中ESET已经不再检出了(误报解除),而4a还在继续检出。因此我对4赶超3有点小信心(然后对比一下4和3的最终结果估计就能看出谁是非常实诚地只盯着ESET看)

Update 10

panda_ul.jpg

熊猫、趋势分别入库,赛门铁克报毒名变更。MAX的AI打分还提高了,看来MAX的AI是集思广益类型的。。。


Update 11

nano_ul.png

NANO入库,至此VT67家厂商已经有30家报毒


Update 12

qheal.png
QuickHeal入库
Update 13

zillya_ul.jpg

Zillya入库

文件B:
b.png
描述一下变化趋势:最初是红伞和Cylance误报,xxx小时后只增加了CrowdStrike。之后雷打不动。看来红伞并没有称为被众人借鉴的对象

看来E家的检出真的很受大家喜爱呢……等到误报基本稳定了我会把链接贴上来以供围观

感想(纯粹是我个人观点,为了防止被吞我用图片):

comments6.png
10) 关于某些大厂弱爆了的新角度解读:可能有人经常使用VT,发现有的大厂太烂了:这些大厂能检出的样本其他厂都已经检出了(比如VT过半),而其他厂能检出的时候这些大厂可能没检出。这里有两种可能,可能大厂没能检出样本实际上是误报。如果不是误报,也有可能是因为最初大厂率先检出,然后马上被其他厂盯上了,疯狂跟着入库。而反过来其他厂盯上的一些样本不会被大厂尾随入库,因为大厂有自己的样本收集和鉴定流程。那些跟风厂的作为正如胖虎那句话:
giant.jpg
11)第三方月度扫描测试越来越没意义了,明显跟风拉黑的优势大。有一些还不马上拉黑而等个一两天,免得被大厂潜在误报事故拖累,但是到月度测试的时候反正已经入库了,谁怕谁啊。这策略不可谓不妙啊

12)这里并没有贬低任何厂商技术的意思。有些厂虽然可能有潜在借用他厂结果的嫌疑,但他们也有自己的技术和本事。但是这种做法道德吗?或许3)中列出的厂家在评测中经常没登顶是有原因的

这里学习雪姨的语气婊一下:你有本事评测拿高分,你有本事别抄别人鉴定结果啊!

相关报道:
https://eugene.kaspersky.com.cn/ ... -no-good-parasites/
https://www.securityweek.com/vir ... ti-malware-industry



分割线之下的是这个帖子一开始的文字,放这边作为存档
===============================

首先是测试白文件初扫结果(Ikarus估计也曾经提取过类似特征):
crop0.png


睡了一觉之后的结果:
crop1.png

首先,ESET的报毒消失了,说明ESET的LiveGrid在杀了我编译的白文件之后在云端进行过复检,发现是误报后修正了这个混淆器定义(原来那个恶意程序仍旧会报毒)。我刚才看了一下初步定位到他们是怎么修正的了,不过在这里我先不说修正的内容,免得被别有用心的人利用。我唯一想说的是改MD5对这个是没用的。
难怪LiveGrid对报毒的文件也要进行telemetry,难怪ESET误报这么低

Fortinet报毒名一直和ESET很近,这次看它报毒名依旧这么实诚我暂且不说其抄袭吧

在ESET退出这场误报游戏之后,更多的厂家加入了混战:
al.jpg

新增了MAX和BD,看的我好尴尬啊

kkk.png

然后又扫了一遍,加入了Cyren,要一发不可收拾了
k030022.png
又增加了一个新成员……大家来找茬

关于这个现象的解读:严谨的来说这个结果不能完全导出XX抄袭XX的结论。这里面变量很多,有可能是因为厂家在VT上捕获了样本并通过自己的手段查出异常因此报毒;有可能是因为厂家将其他厂的检出结论用作自己判毒的权重之一,导致本不该报毒的变成了报毒的;也有可能直接盗用其他厂家的结果……

不过这个现象倒是很能说明误报的“滚雪球效应”。这个程序说实话啥都没干,但是短期内涌现出了这么多能查杀的杀软……这说明了什么



















评分

参与人数 25分享 +3 魅力 +1 人气 +28 收起 理由
我要打十個 + 1 版区有你更精彩: )
碎玉醉 + 1 版区有你更精彩: )
利刀1937 + 1 版区有你更精彩: )
bbs2811125 + 1 因吹斯汀
wjy19800315 + 1 版区有你更精彩: )

查看全部评分

wangkaka
发表于 2018-6-13 20:26:32 | 显示全部楼层
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了
B100D1E55
 楼主| 发表于 2018-6-13 20:28:35 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:26
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了

搞得我想@191196846 同学 红伞云分类好的部分真相
momng
发表于 2018-6-13 20:28:56 | 显示全部楼层
只能是说入库迅速,不能明说“抄抄抄”,只是有点不动naozi入库。
renyifei
发表于 2018-6-13 20:29:28 | 显示全部楼层
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较高,要不然哪有这么多厂家抄抄抄
B100D1E55
 楼主| 发表于 2018-6-13 20:31:11 | 显示全部楼层
renyifei 发表于 2018-6-13 20:29
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较 ...

用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子
renyifei
发表于 2018-6-13 20:32:53 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:31
用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子

哈哈哈,我倒是不担心ESET会倒闭,毕竟也是一家世界级大公司,估计在斯洛伐克也有什么政策支持和优待
wangkaka
发表于 2018-6-13 20:33:52 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:28
搞得我想@191196846 同学 红伞云分类好的部分真相

大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。
renyifei
发表于 2018-6-13 20:36:46 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:33
大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。

不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软
wangkaka
发表于 2018-6-13 20:38:26 | 显示全部楼层
renyifei 发表于 2018-6-13 20:36
不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软

红伞和我电脑八字不合,我这电脑无论什么系统装上去病毒库加载不起来
以前只在家里面的老旧电脑玩过一个月

B100D1E55
 楼主| 发表于 2018-6-13 20:41:25 | 显示全部楼层
momng 发表于 2018-6-13 20:28
只能是说入库迅速,不能明说“抄抄抄”,只是有点不动naozi入库。

说的没错,就是无脑。这样一个helloworld级别的程序,只要有个沙盘都能跑出来,这种都敢入库不是无脑是什么
renyifei
发表于 2018-6-13 20:41:36 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:38
红伞和我电脑八字不合,我这电脑无论什么系统装上去病毒库加载不起来。
以前只在家里面的老旧电脑 ...

我觉得所有主流国外杀软中只有ESET和卡巴最合口味了
wangkaka
发表于 2018-6-13 20:45:50 | 显示全部楼层
renyifei 发表于 2018-6-13 20:41
我觉得所有主流国外杀软中只有ESET和卡巴最合口味了

嘛,我也只买了这两家产品,和WD换着用。。。楼有点歪以后私聊谈
191196846
发表于 2018-6-13 20:56:59 | 显示全部楼层
本帖最后由 191196846 于 2018-6-13 20:58 编辑

哈哈哈有理由换红伞喽……但是俺不忍心呢~

原来是这样啊,那APC嘛……嘻嘻,神话破灭

不过一个样本代表不了什么,接下去的那个一定更有趣

Do more test. There is only one truth  --- Conan


今晚样本包马上就出了,继续看下情况

2605276004x
发表于 2018-6-13 20:57:29 | 显示全部楼层
本帖最后由 2605276004x 于 2018-6-13 21:07 编辑

前排吃瓜
这个CrowdStrike Falcon 90%confidence有趣
AVAST&AVG这骚操作不过至少比无脑入库好
B100D1E55
 楼主| 发表于 2018-6-13 21:04:05 | 显示全部楼层
191196846 发表于 2018-6-13 20:56
哈哈哈有理由换红伞喽……但是俺不忍心呢~

原来是这样啊,那APC嘛……嘻嘻,神话破灭

avast也被逮到了哈哈,见主楼更新
191196846
发表于 2018-6-13 21:07:12 | 显示全部楼层
B100D1E55 发表于 2018-6-13 21:04
avast也被逮到了哈哈,见主楼更新

啊,疯狂给你加分

可以我没RQ了


静待结果

你可以把链接发出来么?便于实时刷新
wangkaka
发表于 2018-6-13 21:07:49 | 显示全部楼层
本帖最后由 wangkaka 于 2018-6-13 21:08 编辑
B100D1E55 发表于 2018-6-13 21:04
avast也被逮到了哈哈,见主楼更新

Avast我丝毫不惊讶,以前玩的多了,一直跟着别家屁股后面拉黑
倒是其他几个看eset改了又改回去了avast真是后知后觉
aboringman
发表于 2018-6-13 21:07:51 | 显示全部楼层
除了红伞我很意外,其他几家完全没有感觉

趋势随便改个MD5就可以花样过,没办法
B100D1E55
 楼主| 发表于 2018-6-13 21:08:34 | 显示全部楼层
191196846 发表于 2018-6-13 21:07
啊,疯狂给你加分

可以我没RQ了

暂时不发,我还在测国内几家,怕有人蹲点,我大概每个小时会更新一次(如果结果有变化的话)
B100D1E55
 楼主| 发表于 2018-6-13 21:15:01 | 显示全部楼层
ELOHIM 发表于 2018-6-13 21:12
https://bbs.kafan.cn/thread-2125082-1-1.html

尊素不好意思,但是我的确没研究过(可以考虑速成一下)

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

B100D1E55
 楼主| 发表于 2018-6-13 22:57:08 | 显示全部楼层
pal家族 发表于 2018-6-13 22:56
好吧看来得等我明早醒来再来围观了。估计那时候已经有更明显的结论了

我回来啦,刚才在通勤
B100D1E55
 楼主| 发表于 2018-6-13 23:09:25 | 显示全部楼层
191196846 发表于 2018-6-13 23:08
抄袭王可以多加几个

逃)

我已经在考虑最后结论怎么写才可以避免口水了……
B100D1E55
 楼主| 发表于 2018-6-13 23:17:05 | 显示全部楼层
dg1vg4 发表于 2018-6-13 21:37
如果换一个视角呢?
比如说BD,以BD为视角看看有谁在抄BD。

你提出来的有道理,这里我没有精力测其他的case,不过我的经验谈是:我个人以往测试经历基本显示BD、卡巴、ESET、微软、Symantec这几家基本是独立检出的,无脑入库概率不大(云快速拉黑不好说)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-6-22 13:09 , Processed in 0.061022 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表