#PACKAGE 0803

显示全部楼层 · 发表于 2018-8-5 11:50:02

B100D1E55 发表于 2018-8-5 11:34
想问一下，既然https这样搞会有严重误报问题，那么杀毒引擎不跑通用脱壳做表层二进制检测是不是也有类似 ...

没有什么壳能完全隐藏包裹程序的信息。

想象一下一只鸡和鸭子, 现实里面要隐藏它们还是比较简单的，做两个一样的长方体罩在上面就可以了，外面绝对看不出来里面是什么玩意。

但是壳不是，壳是一层布，罩在上面还是能从外面看到形状。壳的强度代表了布的硬度, VM这种壳是硬一点的布, UPX是软一点的布。但是都是布。

对于MALWARE选择什么特征综合考量较多, 不仅是误报率，速度，资源占用也需要考虑. 当然在误报上ML无论浅层深层也不能和特征引擎相比, 但是在人力成本上和召回率上还是有优势的.

显示全部楼层 · 发表于 2018-8-5 11:50:25

Karna 发表于 2018-8-5 11:39
以前一直以为IPS就是那种表层的静态检测，不需要解包，按照楼上的说法，不就是暗示现在很多的静态 ...

基本算表层吧，区别是看检测到什么程度，最简单的就是看看包头一些东西，细致的会深入到包的payload，由此衍生出一系列状态机匹配算法、统计检测、甚至是硬件辅助加速解决方案（比如TCAM）。现在杀软的IPS或多或少都有一些更复杂的检测，比如算一些协议的信息熵检测潜在covert channel。

当然网关那种对于一些协议不解密估计是看不到什么有用的东西，只能靠猜，就如上面ccboxes同学所言。不过现实中很多检测说实话也是“猜”，区别在于准确率。对于企业而言这种猜可以更激进一点，因为有人负责监管和排除，但对于普通用户来说这就么搞是闷声作大死。

显示全部楼层 · 发表于 2018-8-5 11:55:49

本帖最后由 ccboxes 于 2018-8-5 12:10 编辑

Karna 发表于 2018-8-5 11:39
以前一直以为IPS就是那种表层的静态检测，不需要解包，按照楼上的说法，不就是暗示现在很多的静态 ...

你这个概念实在是太混乱了，静态就不能脱壳了？静态就不能提取深层特征了？静态与动态的区别只在于有没有虚拟运行的环节，不虚拟运行仍然有大把的方式分析文件。

另外不需要解包？
解包是解什么？
数据包
数据包是什么？
包是数据包。把需要发送的内容拆成的固定大小的数据段，再加上说明了使用的协议，目的地，发送顺序等内容的固定格式的表头，就成了数据包
怎么解？
去掉表头，合并出原始内容

IPS的基础就是解包，把多个数据包中的内容合并出真正的文件再加以分析，单独一个没头没尾的数据包能分析什么？只有表头，大部分情况下并不会有意义。

显示全部楼层 · 发表于 2018-8-5 11:58:08

ccboxes 发表于 2018-8-5 10:46
文章和论文我都看了，讲真你吓了我一跳，我还以为思科真的有什么天顶星科技竟能从无意义的加密数据中提出 ...

实际上SSL流量真能提取出特征。

1.对于一般的应用来讲, 服务器证书名就是很强的特征啊，识别那些移动APP杠杠的. 现在的下一代防火墙所谓的appid之类的基本都是靠这个。

2. 对于区分正常流量和恶意流量来讲，我上面说过误报很大，主要原因是证书名权重太大，数据包大小，频率这些权重太小。但是我没有谈到的是检测效率也是很好的，我们实践测试检测cobalt strike或者meterpreter这些东西生成的https木马召回率基本是100%.

我之前的结论是不可用是针对我们自己的实践来说的。但是对于cisco这样大的体量说不定办法比我们多，比如在企业内部的一些自定义排除，白名单等。长远来看, SSL流量不需要解密也能判断出是什么客户端发出的还是有希望的.

显示全部楼层 · 发表于 2018-8-5 11:59:50

BeatTrojan 发表于 2018-8-5 11:50
没有什么壳能完全隐藏包裹程序的信息。

想象一下一只鸡和鸭子, 现实里面要隐藏它们还是比较简单的，做 ...

嗯谢谢解答，其实直接杀混淆器特征之类的的确是无可厚非，因为一般程序不会这么做。我有点好奇你们怎么处理一些常见商业壳，毕竟有一些VM-based的那种有时候连通用脱壳都蛋疼

此外也希望介绍一下智量主要用了什么样的ML算法，当然这点你要是不能回答我也表示理解

显示全部楼层 · 发表于 2018-8-5 12:04:10

ccboxes 发表于 2018-8-5 11:55
这就是概念不清了，静态就不能脱壳了？静态就不能深层特征了？

静态与动态的区别只在于有没有虚拟运行 ...

没有加“表层”，抱歉

显示全部楼层 · 发表于 2018-8-5 12:09:57

Karna 发表于 2018-8-5 12:04
没有加“表层”，抱歉

我又修改了我的回复，再看一下

显示全部楼层 · 发表于 2018-8-5 12:11:04

B100D1E55 发表于 2018-8-5 11:59
嗯谢谢解答，其实直接杀混淆器特征之类的的确是无可厚非，因为一般程序不会这么做。我有点好奇你们怎么处 ...

智量后方用的算法比较多, 前端用的是GBDT算法. 至于VM，就像我之前说的，VM它也不能完全隐藏包裹体的信息.

显示全部楼层 · 发表于 2018-8-5 12:16:07

BeatTrojan 发表于 2018-8-5 11:58
实际上SSL流量真能提取出特征。

1.对于一般的应用来讲, 服务器证书名就是很强的特征啊，识别那些移动A ...

不过说实话，这种检测也很容易针对性的绕过吧，只是对那些“批量生产”的木马检测率很高。

显示全部楼层 · 发表于 2018-8-5 12:16:39

BeatTrojan 发表于 2018-8-5 12:11
智量后方用的算法比较多, 前端用的是GBDT算法. 至于VM，就像我之前说的，VM它也不能完全隐藏包裹体的信息 ...

多谢解答

[病毒样本] #PACKAGE 0803