收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #PACKAGE 0803
12345678910下一页
返回列表 发新帖
楼主: Jerry.Lin
 收起左侧

[病毒样本] #PACKAGE 0803

  [复制链接]
BeatTrojan
发表于 2018-8-4 21:16:16 | 显示全部楼层
B100D1E55 发表于 2018-8-4 20:21
我觉得ccboxes童鞋基本回答了,不过补充一点,其实大厂也在不断探索在不劫持客户端证书前提下侦测网络攻 ...

两年前我们尝试过这种方法,实际证明cisco的结论能信一半就不错了。

主要问题是误报比较大, 客户实际网络里各种自签名证书搞得我们头疼不已,因为针对HTTPS的ML很依赖证书机构名,发行厂商名等。这些向量在模型占的比重很大,但是自签名证书的名称随机性会扰乱AI的判断,实际摸索了很久发现不可用。

不仅是HTTPS, 就是在HTTP的BOT检测方面,ML也力不从心,特征提取多了吧,实时检测很影响性能。提取少了误报很大。当然如果把流量存起来不实时检测,ML还可以勉强一用。

最后我们还是参考了vectra networks的方案,也用在了实际生产环境中,感兴趣的朋友可以看看:

https://vectra.ai/

评分

参与人数 3人气 +5 收起 理由
wangkaka + 1 版区有你更精彩: )
驭龙 + 1 版区有你更精彩: )
B100D1E55 + 3 感谢解答: )

查看全部评分

回复

举报

Picca
发表于 2018-8-4 21:33:49 | 显示全部楼层
本帖最后由 Karna 于 2018-8-4 21:37 编辑
B100D1E55 发表于 2018-8-4 20:21
我觉得ccboxes童鞋基本回答了,不过补充一点,其实大厂也在不断探索在不劫持客户端证书前提下侦测网络攻 ...

谢谢,之前一直以为是直接识别的,看来不装客户端的前提下,那些安全路由也没宣传的那么管用,特别是那些装不上客户端但又用了加密网络协议的物联终端。
回复

举报

WhiteCruel
发表于 2018-8-4 22:39:01 | 显示全部楼层
B100D1E55 发表于 2018-8-4 12:02
对,他们是每个月更新,所以估计要等一段时间。从我个人经验来看小版本(就是带小数点的变化)更新一般是ho ...

好的,期待你的测试结果
回复

举报

ccboxes
发表于 2018-8-5 10:46:23 | 显示全部楼层
本帖最后由 ccboxes 于 2018-8-5 10:48 编辑
B100D1E55 发表于 2018-8-4 20:21
我觉得ccboxes童鞋基本回答了,不过补充一点,其实大厂也在不断探索在不劫持客户端证书前提下侦测网络攻 ...

文章和论文我都看了,讲真你吓了我一跳,我还以为思科真的有什么天顶星科技竟能从无意义的加密数据中提出特征来。

这篇文章的目的是识别使用TLS加密其数据传送的病毒,而不是通过HTTPS进行的漏洞攻击。原理是分析病毒进程在进行TLS握手时(此时的数据是未加密的)发送的配置数据。也就是说,他们发现病毒使用HTTPS的方式一般与正常的企业HTTPS通信有很大不同。比如通常会使用公共加密证书,自签名证书,和几种特定的加密方式,或者使用的TLS版本很低,要求客户端加载的TLS扩展很少,只跟一个IP通信,又或是使用Tor等等。

这种分析根本不能识别恶意流量,只能给信息安全部门指出“虽然这个进程到底发了什么我不知道,但它的HTTPS通信'姿势'有点奇怪”,然而真实的企业内部充斥着大量“小工具”和陈旧、不规范的TLS实现,奇奇怪怪的东西多了去了。真把这个系统实际运用,怕是要逼疯工程师。

[color=inherit !important]



回复

举报

ccboxes
发表于 2018-8-5 11:08:44 | 显示全部楼层
Karna 发表于 2018-8-4 21:33
谢谢,之前一直以为是直接识别的,看来不装客户端的前提下,那些安全路由也没宣传的那么管用,特 ...

安全路由器主要的作用还是云信誉,检查一下你通信的IP地址是不是伪造的,是不是恶意的。另外这种路由器一般漏洞也比较少。


如果要了解,还是要看一些网络通信工程的文献,只想要个科普并不需要太多时间。

OSI模型

数据传输时,根据使用协议不同,是从发送方的第X层往下走直到第一层,再从接受方所在网络的第一层往上走,回到接受方的第X层,路由器工作在第三层,在不事先破坏的前提下又怎么能窥探从第七层就已经加密的HTTPS通信的内容呢?


回复

举报

B100D1E55
发表于 2018-8-5 11:28:37 | 显示全部楼层
ccboxes 发表于 2018-8-5 10:46
文章和论文我都看了,讲真你吓了我一跳,我还以为思科真的有什么天顶星科技竟能从无意义的加密数据中提出 ...

能检测到内容那现在的加密体系就土崩瓦解了,肯定只能是旁敲侧击,基本就是异常检测的路数
回复

举报

Picca
发表于 2018-8-5 11:31:10 | 显示全部楼层
本帖最后由 Karna 于 2018-8-5 11:33 编辑
ccboxes 发表于 2018-8-5 11:08
安全路由器主要的作用还是云信誉,检查一下你通信的IP地址是不是伪造的,是不是恶意的。另外这种路由器一 ...

如果只是个云信誉,我觉得其实安全软件就可以做到,猜测可能路由上面的IPS IDS库用的比PC上面更大更全吧。。。我看到有几家的带有Anomaly Detection,不知道这玩意儿能否在不知道传输内容的情况下管一点用
这种路由器一般漏洞也比较少

估计也只是相对的,
https://embedi.com/wp-content/up ... box-of-illusion.pdf  
https://zhuanlan.zhihu.com/p/36601989
我觉得上面这些产品初期投入+每年的订阅费用和它们实际效用相比,还是差了些。另外倒是很感兴趣卡巴会不会把它那个研发了14年的os,拿去搞个路由

回复

举报

B100D1E55
发表于 2018-8-5 11:34:40 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-8-5 11:40 编辑
BeatTrojan 发表于 2018-8-4 21:16
两年前我们尝试过这种方法,实际证明cisco的结论能信一半就不错了。

主要问题是误报比较大, 客户实际 ...

想问一下,既然https这样搞会有严重误报问题,那么杀毒引擎不跑通用脱壳做表层二进制检测是不是也有类似问题,毕竟实际payload不解密就只能提取一些异常的混淆特征?不说企业那种更复杂和封闭的,就算普通用户电脑里各种无害的小玩意儿、自制程序、绿色软件估计都会有问题吧
回复

举报

Picca
发表于 2018-8-5 11:39:40 | 显示全部楼层
本帖最后由 Karna 于 2018-8-5 12:26 编辑
B100D1E55 发表于 2018-8-5 11:34
想问一下,既然https这样搞会有严重误报问题,那么杀毒引擎不跑通用脱壳做表层二进制检测是不是也有类似 ...

以前一直以为IPS就是那种表层的静态检测,不需要解密,按照楼上的说法,不就是暗示现在很多的静态机器学习扫描都不靠谱吗......
回复

举报

Jerry.Lin
 楼主| 发表于 2018-8-5 11:42:46 | 显示全部楼层
B100D1E55 发表于 2018-8-5 11:34
想问一下,既然https这样搞会有严重误报问题,那么杀毒引擎不跑通用脱壳做表层二进制检测是不是也有类似 ...

这个我也想问

在看到智量还算可以的检测率之后
回复

举报

下一页 »
12345678910下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-9 20:19 , Processed in 0.099075 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表