查看: 46188|回复: 332
收起左侧

[分享] 你抄我抄大家抄,抄抄更欢乐(完结)

  [复制链接]
B100D1E55
发表于 2018-6-13 20:14:20 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2018-7-7 14:34 编辑

本帖是这篇https://bbs.kafan.cn/thread-2124940-1-1.html 的衍生产品
感谢@wangkaka 同学的启发,这个测试非常有意思。此篇请勿转载到本坛之外的地方,特别是什么X乎之类的

先说一下来龙去脉:

在写原帖的时候我的样本被E家自动机入库了,但是我发现可以反过来根据入库的特征构造一个样本,它纯粹是白文件,但是也会被E家报毒(这时候算为误报)。然后wangkaka同学建议可以用这个样本上传到virustotal看看有没有厂商剽窃ESET的检出

顺带一提,VT上剽窃风盛行不假,给出实锤却也不容易,这次变量控制的很严格说服力更强一点不是吗
这个测试我还要做一段时间,所以先把sha256隐去免得对我的实验产生干扰


现在来汇总一下结果,这个测试由于一开始没有很好地设计实验,所以用了好几个样本导致有点混乱,现在依序归纳一下我观测到的东西和对应的想法:
1. 带毒样本+条件判断:也就是条件炸弹,这个的确是黑文件。上传VT后在超过24小时漫长的空窗期后ESET、Dr.Web、安博士才开始检出,而如今超过48小时后变成了这样:

24小时检出:

24小时后到目前为止的检出(27家厂商):

刚刚0615 01:00UTC刷新后,结果:

基本而言最初有几家可靠的检出了之后,后面的厂商就如同雨后春笋般的出现了

2.带毒样本+无执行路径:这个样本和1的唯一区别在于,加密的毒在PE里,但程序主体只写了一个空文件其他什么都不干,理论上无害


刚刚0615 01:00UTC刷新后,结果:


顺带一提,这个就是卡巴UDS光速拉黑的样本,不过卡巴有能光速拉黑这个,怎么没光速拉黑1呢?

首先1报毒2不报的有DrWeb,ESET(虽然ESET在第二张截图里也有,但是因为关了LiveGrid黑文件复检,根据之前同类样本的结果姑且算一下),NANO-AntivirusK7Antivirus, TACHYON,姑且称其为现阶段尚有节操组
反过来2报毒1不报的有Cyren

然后是两个都报的,这里谅解两个都报毒的,因为内嵌了加密的ransomware数据,如果静态扫出来了加密数据那也没话说。姑且算其杀了恶意程序的资源文件,但记住:理想情况下应该杀利用那个恶意文件的程序

其中1的入库最快的是DrWeb,安博士,ESET,而2初始检出外入库/拉黑最快的是Avast,然后是卡巴

3.不带毒+能让ESET误报的几行代码
这个程序行为有点怪,但我个人认为实质上没触及红线,无非就是注册了窗口控件、写了个文件。我刚才扔Hybrid-Analysis上跑了一下,也没有什么可疑行为

这个报毒的有……

ESET虽然最初误报开头的“混淆行为”,一天后ESET的报毒自动消失了。说明ESET的LiveGrid在杀了我编译的白文件之后在云端进行过复检,发现是误报后修正了这个混淆器定义(原来那个恶意程序仍旧会报毒)。难怪LiveGrid对报毒的文件也要进行telemetry,难怪ESET误报这么低

4. 哈哈对照组
之所以称为哈哈对照组,是因为我意识到之前测试手段的混乱,思考了一下打算尝试新的养肥方法。新的养肥方法就是:我从零开始默写一个完全无害的程序,包含能让ESET误报的几行代码(其实就是个写空文件的程序)。我用一些方法tweak了一下,用完全相同的代码和完全正常的编译器和参数生成了两份exe,一份能被ESET误报,一份不能。两份都是同一个正规编译器直出,没有任何混淆成分。这么做主要是想考察一个ESET的误报究竟能引诱多少厂家跟着误报,从而追踪到吃白食不付钱的厂家,现阶段结果如下,误报数量稳步增加中:其中被ESET报毒的称为文件A,而不被ESET报毒的称为文件B。为了证明一下这文件真的很白,贴上VT沙盒的行为报告:

写入的内容我记得应该是“abcabc”之类的

文件A:

我描述一下按时间顺序的检出变化趋势:最初是ESET和Cylance误报,然后是CrowdStrike,然后是McAfee,然后是TrendMicro Housecall,然后是Ikarus和红伞,然后是BD。这个链条中谁抄谁就耐人寻味了
紧接着的跟屁虫顺序:MAX(当VT检出变多后MAX的ai score也变高了,厉害厉害),Cyren,AegisLab,K7,微软,赛门铁克,Sophos机器学习,Sophos普通检测,Comodo,熊猫,趋势正式库,赛门铁克ML,NANO,QuickHeal,Zillya,瑞星,Avast(AVG),奇虎360
一个可靠大厂的误报带出了36家误报

“最终”结果截图(或许还有可能增加,不过我的跟进到此为止):



文件B:

描述一下变化趋势:最初是红伞和Cylance误报,xxx小时后只增加了CrowdStrike。之后雷打不动。看来红伞并没有成为被众人借鉴的对象
文件B至7月7日检出仍旧是一开始的三家

看来E家的检出真的很受大家喜爱呢……


感想(纯粹是我个人观点,为了防止被吞我用图片):




这里学习雪姨的语气婊一下:你有本事评测拿高分,你有本事别抄别人鉴定结果啊!

以ESET和Kaspersky两个独立的鉴定机构为中心,用上述对照组测试和这个误报链接来画一张Venn图就是这么回事:
落在中间的厂商……你懂的
中间的厂商因为这样的做法,误报更可能比不在中间的厂商高,不知道是否符合你日常的误报体验呢?

相关报道:
https://eugene.kaspersky.com.cn/ ... -no-good-parasites/
https://www.securityweek.com/vir ... ti-malware-industry






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 27分享 +3 魅力 +1 人气 +30 收起 理由
不知道这是剑 + 1 interesting
留得残荷听雨声 + 1 666
我要打十個 + 1 版区有你更精彩: )
碎玉醉 + 1 版区有你更精彩: )
利刀1937 + 1 版区有你更精彩: )

查看全部评分

wangkaka
发表于 2018-6-13 20:26:32 | 显示全部楼层
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了
B100D1E55
 楼主| 发表于 2018-6-13 20:28:35 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:26
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了

搞得我想@191196846 同学 红伞云分类好的部分真相
momng
发表于 2018-6-13 20:28:56 | 显示全部楼层
只能是说入库迅速,不能明说“抄抄抄”,只是有点不动naozi入库。
renyifei
发表于 2018-6-13 20:29:28 | 显示全部楼层
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较高,要不然哪有这么多厂家抄抄抄
B100D1E55
 楼主| 发表于 2018-6-13 20:31:11 | 显示全部楼层
renyifei 发表于 2018-6-13 20:29
你要理解macfee之流的想法,毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较 ...

用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子
renyifei
发表于 2018-6-13 20:32:53 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:31
用了ESET的检出结果是不是要付给ESET辛苦费啊,不然E家倒闭了还怎么过日子

哈哈哈,我倒是不担心ESET会倒闭,毕竟也是一家世界级大公司,估计在斯洛伐克也有什么政策支持和优待
wangkaka
发表于 2018-6-13 20:33:52 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:28
搞得我想@191196846 同学 红伞云分类好的部分真相

大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。
renyifei
发表于 2018-6-13 20:36:46 | 显示全部楼层
wangkaka 发表于 2018-6-13 20:33
大佬你这测试打碎了好多人的幻想,本来红伞最近查杀率+apc已经崛起了,连续几天样本区登顶了。

不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软
wangkaka
发表于 2018-6-13 20:38:26 | 显示全部楼层
renyifei 发表于 2018-6-13 20:36
不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软

红伞和我电脑八字不合,我这电脑无论什么系统装上去病毒库加载不起来
以前只在家里面的老旧电脑玩过一个月

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:07 , Processed in 0.127784 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表