#PACKAGE 0803

显示全部楼层 · 发表于 2018-8-5 12:20:42

ccboxes 发表于 2018-8-5 12:16
不过说实话，这种检测也很容易针对性的绕过吧，只是对那些“批量生产”的木马检测率很高。

不容易绕过，绕过的话在你不知道模型细节的情况下只能黑盒猜了。要动网络流量那必须动程序，服务端客户端都要动，对黑客代价太大。

显示全部楼层 · 发表于 2018-8-5 12:22:23

B100D1E55 发表于 2018-8-5 12:16
多谢解答

补充一下，实际我觉得ML在企业环境里比个人环境更好搞，你看Cylance抖抖索索这么久才出个smart antivirus, 一方面是怕针对，另一方面是个人环境确实更复杂，更容易被骂。

显示全部楼层 · 发表于 2018-8-5 12:24:57

本帖最后由 Karna 于 2018-8-5 12:40 编辑

ccboxes 发表于 2018-8-5 11:55
你这个概念实在是太混乱了，静态就不能脱壳了？静态就不能提取深层特征了？静态与动态的区别只在于有没有 ...

也就是封包和加密是不同的概念，包含关系？好吧，我真正想说的是解密
------------------------------------------------------------------------------------------

https://en.wikipedia.org/wiki/Intrusion_detection_system

NID Systems are also capable of comparing signatures for similar packets to link and drop harmful detected packets which have a signature matching the records in the NIDS

大佬，这个有作何解？

显示全部楼层 · 发表于 2018-8-5 12:29:52

本帖最后由 B100D1E55 于 2018-8-5 12:38 编辑

BeatTrojan 发表于 2018-8-5 12:22
补充一下，实际我觉得ML在企业环境里比个人环境更好搞，你看Cylance抖抖索索这么久才出个smart antivirus ...

的确是，Cylance之前初步开放给个体户的时候论坛里试用的几个同学都是哀嚎一片，基本是神是鬼都杀。而企业不仅软件环境相对固定还有it admin，搞什么高敏感检测就算乱报惨的也是it admin……

这样说来好想搞一个Cylance/SentinelOne/CrowdStrike vs WiseVector大对决之类的测试，不过我觉得这种不算上精心设计的误报测试没什么意义，我等小卒也没能力和精力搞了

我想你们内部或许有评估过这些个next-gen产品

显示全部楼层 · 发表于 2018-8-5 12:35:13

BeatTrojan 发表于 2018-8-5 12:20
不容易绕过，绕过的话在你不知道模型细节的情况下只能黑盒猜了。要动网络流量那必须动程序，服务端客户端 ...

这倒是，大部分所谓黑客并不具有自主研发能力，对于广撒网的策略来说，代价实在是很大。不过我认为针对性的攻击要伪装自己的TLS连接方式还是难度不高，毕竟即使不知道检测模型，也有一大堆正常程序的流程可以参照，这种检测只能说是多层防御的一环，锦上添花。

显示全部楼层 · 发表于 2018-8-5 12:39:22

Karna 发表于 2018-8-5 12:24
也就是封包和加密是不同的概念，包含关系？好吧，我真正想说的是解密

也不是包含，是完全独立的关系。

对于HTTPS连接，如果不进行劫持，进而解密，那么对于IPS来说有意义的内容只剩下HTTPS握手时通过HTTP传递的配置信息和传输时数据包的表头。从这些东西中能获得的信息很有限，从目前来看，不考虑隐私问题，还是在端点上就劫持解密最好。

显示全部楼层 · 发表于 2018-8-5 12:48:26

Karna 发表于 2018-8-5 12:24
也就是封包和加密是不同的概念，包含关系？好吧，我真正想说的是解密
------------------------------- ...

就是简单的匹配啊，解包后发现数据包的内容符合特征库中的签名，就加以拦截，这种分析对于加密的数据包无能为力。

显示全部楼层 · 发表于 2018-8-5 12:48:56

ccboxes 发表于 2018-8-5 12:39
也不是包含，是完全独立的关系。

对于HTTPS连接，如果不进行劫持，进而解密，那么对于IPS来说有意义的 ...

我当时的意思是难道不能直接分析加密的数据，你的意思是加密后数据的特征变化完全不可掌握，不能用某些统计学特征，信息熵来进行判断？抱歉我还没学计算机网络，询问就到这吧，不浪费大佬的时间了。

显示全部楼层 · 发表于 2018-8-5 12:52:34

Karna 发表于 2018-8-5 12:48
我当时的意思是难道不能直接分析加密的数据，你的意思是加密后数据的特征变化完全不可掌握，不能用某些统 ...

当然不能，这就是加密的意义。

显示全部楼层 · 发表于 2018-8-5 13:17:16

B100D1E55 发表于 2018-8-5 12:29
的确是，Cylance之前初步开放给个体户的时候论坛里试用的几个同学都是哀嚎一片，基本是神是鬼都杀。而企 ...

是，去年智量还在实验室的时候都评估过了, 用了15000个国外样本，大家的检测率都差不多, SentinelOne和EndGame的检测率稍高一点。 CrowdStrike和Cylance的误报多一点。其中Cylance的误报是其它平均3倍左右。不知道融那么多资干嘛去了。智量也就中等偏上的位置.

误报测试很看样本出处，不是很好测试，要是用中国的样本，这些误报都奇高无比。

[病毒样本] #PACKAGE 0803

评分