你抄我抄大家抄，抄抄更欢乐（完结）

B100D1E55

本帖是这篇https://bbs.kafan.cn/thread-2124940-1-1.html 的衍生产品
感谢@wangkaka 同学的启发，这个测试非常有意思。此篇请勿转载到本坛之外的地方，特别是什么X乎之类的

先说一下来龙去脉：

在写原帖的时候我的样本被E家自动机入库了，但是我发现可以反过来根据入库的特征构造一个样本，它纯粹是白文件，但是也会被E家报毒（这时候算为误报）。然后wangkaka同学建议可以用这个样本上传到virustotal看看有没有厂商剽窃ESET的检出

顺带一提，VT上剽窃风盛行不假，给出实锤却也不容易，这次变量控制的很严格说服力更强一点不是吗
这个测试我还要做一段时间，所以先把sha256隐去免得对我的实验产生干扰


现在来汇总一下结果，这个测试由于一开始没有很好地设计实验，所以用了好几个样本导致有点混乱，现在依序归纳一下我观测到的东西和对应的想法：
1. 带毒样本+条件判断：也就是条件炸弹，这个的确是黑文件。上传VT后在超过24小时漫长的空窗期后ESET、Dr.Web、安博士才开始检出，而如今超过48小时后变成了这样：

24小时检出：

24小时后到目前为止的检出（27家厂商）：

刚刚0615 01：00UTC刷新后，结果：

基本而言最初有几家可靠的检出了之后，后面的厂商就如同雨后春笋般的出现了

2.带毒样本+无执行路径：这个样本和1的唯一区别在于，加密的毒在PE里，但程序主体只写了一个空文件其他什么都不干，理论上无害


刚刚0615 01：00UTC刷新后，结果：


顺带一提，这个就是卡巴UDS光速拉黑的样本，不过卡巴有能光速拉黑这个，怎么没光速拉黑1呢？

首先1报毒2不报的有DrWeb，ESET（虽然ESET在第二张截图里也有，但是因为关了LiveGrid黑文件复检，根据之前同类样本的结果姑且算一下），NANO-Antivirus，K7Antivirus, TACHYON，姑且称其为现阶段尚有节操组
反过来2报毒1不报的有Cyren

然后是两个都报的，这里谅解两个都报毒的，因为内嵌了加密的ransomware数据，如果静态扫出来了加密数据那也没话说。姑且算其杀了恶意程序的资源文件，但记住：理想情况下应该杀利用那个恶意文件的程序

其中1的入库最快的是DrWeb，安博士，ESET，而2初始检出外入库/拉黑最快的是Avast，然后是卡巴

3.不带毒+能让ESET误报的几行代码：
这个程序行为有点怪，但我个人认为实质上没触及红线，无非就是注册了窗口控件、写了个文件。我刚才扔Hybrid-Analysis上跑了一下，也没有什么可疑行为

这个报毒的有……

ESET虽然最初误报开头的“混淆行为”，一天后ESET的报毒自动消失了。说明ESET的LiveGrid在杀了我编译的白文件之后在云端进行过复检，发现是误报后修正了这个混淆器定义（原来那个恶意程序仍旧会报毒）。难怪LiveGrid对报毒的文件也要进行telemetry，难怪ESET误报这么低

4. 哈哈对照组
之所以称为哈哈对照组，是因为我意识到之前测试手段的混乱，思考了一下打算尝试新的养肥方法。新的养肥方法就是：我从零开始默写一个完全无害的程序，包含能让ESET误报的几行代码（其实就是个写空文件的程序）。我用一些方法tweak了一下，用完全相同的代码和完全正常的编译器和参数生成了两份exe，一份能被ESET误报，一份不能。两份都是同一个正规编译器直出，没有任何混淆成分。这么做主要是想考察一个ESET的误报究竟能引诱多少厂家跟着误报，从而追踪到吃白食不付钱的厂家，现阶段结果如下，误报数量稳步增加中：其中被ESET报毒的称为文件A，而不被ESET报毒的称为文件B。为了证明一下这文件真的很白，贴上VT沙盒的行为报告：

写入的内容我记得应该是“abcabc”之类的

文件A：

我描述一下按时间顺序的检出变化趋势：最初是ESET和Cylance误报，然后是CrowdStrike，然后是McAfee，然后是TrendMicro Housecall，然后是Ikarus和红伞，然后是BD。这个链条中谁抄谁就耐人寻味了
紧接着的跟屁虫顺序：MAX（当VT检出变多后MAX的ai score也变高了，厉害厉害），Cyren，AegisLab，K7，微软，赛门铁克，Sophos机器学习，Sophos普通检测，Comodo，熊猫，趋势正式库，赛门铁克ML，NANO，QuickHeal，Zillya，瑞星，Avast(AVG)，奇虎360
一个可靠大厂的误报带出了36家误报

“最终”结果截图（或许还有可能增加，不过我的跟进到此为止）：



文件B：

描述一下变化趋势：最初是红伞和Cylance误报，xxx小时后只增加了CrowdStrike。之后雷打不动。看来红伞并没有成为被众人借鉴的对象
文件B至7月7日检出仍旧是一开始的三家

看来E家的检出真的很受大家喜爱呢……


感想（纯粹是我个人观点，为了防止被吞我用图片）：



这里学习雪姨的语气婊一下：你有本事评测拿高分，你有本事别抄别人鉴定结果啊！

以ESET和Kaspersky两个独立的鉴定机构为中心，用上述对照组测试和这个误报链接来画一张Venn图就是这么回事：
落在中间的厂商……你懂的
中间的厂商因为这样的做法，误报更可能比不在中间的厂商高，不知道是否符合你日常的误报体验呢？

相关报道：
https://eugene.kaspersky.com.cn/ ... -no-good-parasites/
https://www.securityweek.com/vir ... ti-malware-industry

wangkaka

我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了

B100D1E55

wangkaka 发表于 2018-6-13 20:26
我还真没想到红伞会是抄袭可疑人员。。不过看这报毒名八九不离十了

搞得我想@191196846 同学 红伞云分类好的部分真相

momng

只能是说入库迅速，不能明说“抄抄抄”，只是有点不动naozi入库。

renyifei

你要理解macfee之流的想法，毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较高，要不然哪有这么多厂家抄抄抄

B100D1E55

renyifei 发表于 2018-6-13 20:29
你要理解macfee之流的想法，毕竟只要是样本管他什么来源
这也间接说明ESET的引擎比较好检出率也比较 ...

用了ESET的检出结果是不是要付给ESET辛苦费啊，不然E家倒闭了还怎么过日子

renyifei

B100D1E55 发表于 2018-6-13 20:31
用了ESET的检出结果是不是要付给ESET辛苦费啊，不然E家倒闭了还怎么过日子

哈哈哈，我倒是不担心ESET会倒闭，毕竟也是一家世界级大公司，估计在斯洛伐克也有什么政策支持和优待

wangkaka

B100D1E55 发表于 2018-6-13 20:28
搞得我想@191196846 同学 红伞云分类好的部分真相

大佬你这测试打碎了好多人的幻想，本来红伞最近查杀率+apc已经崛起了，连续几天样本区登顶了。

renyifei

wangkaka 发表于 2018-6-13 20:33
大佬你这测试打碎了好多人的幻想，本来红伞最近查杀率+apc已经崛起了，连续几天样本区登顶了。

不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软

wangkaka

renyifei 发表于 2018-6-13 20:36
不过红伞和ESET的引擎也是不分伯仲的
毕竟他们都属于检测引擎是主要手段的杀软

红伞和我电脑八字不合，我这电脑无论什么系统装上去病毒库加载不起来。
以前只在家里面的老旧电脑玩过一个月