搜索
楼主: Jerry.Lin
收起左侧

[病毒样本] #PACKAGE 0803

  [复制链接]
BeatTrojan
发表于 2018-8-5 12:20:42 | 显示全部楼层
ccboxes 发表于 2018-8-5 12:16
不过说实话,这种检测也很容易针对性的绕过吧,只是对那些“批量生产”的木马检测率很高。

不容易绕过,绕过的话在你不知道模型细节的情况下只能黑盒猜了。要动网络流量那必须动程序,服务端客户端都要动,对黑客代价太大。
BeatTrojan
发表于 2018-8-5 12:22:23 | 显示全部楼层

补充一下,实际我觉得ML在企业环境里比个人环境更好搞,你看Cylance抖抖索索这么久才出个smart antivirus, 一方面是怕针对,另一方面是个人环境确实更复杂,更容易被骂。
Picca
发表于 2018-8-5 12:24:57 | 显示全部楼层
本帖最后由 Karna 于 2018-8-5 12:40 编辑
ccboxes 发表于 2018-8-5 11:55
你这个概念实在是太混乱了,静态就不能脱壳了?静态就不能提取深层特征了?静态与动态的区别只在于有没有 ...

也就是封包和加密是不同的概念,包含关系? 好吧,我真正想说的是解密
------------------------------------------------------------------------------------------

https://en.wikipedia.org/wiki/Intrusion_detection_system
NID Systems are also capable of comparing signatures for similar packets to link and drop harmful detected packets which have a signature matching the records in the NIDS

大佬,这个有作何解?



B100D1E55
发表于 2018-8-5 12:29:52 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-8-5 12:38 编辑
BeatTrojan 发表于 2018-8-5 12:22
补充一下,实际我觉得ML在企业环境里比个人环境更好搞,你看Cylance抖抖索索这么久才出个smart antivirus ...

的确是,Cylance之前初步开放给个体户的时候论坛里试用的几个同学都是哀嚎一片,基本是神是鬼都杀。而企业不仅软件环境相对固定还有it admin,搞什么高敏感检测就算乱报惨的也是it admin……

这样说来好想搞一个Cylance/SentinelOne/CrowdStrike vs WiseVector大对决之类的测试,不过我觉得这种不算上精心设计的误报测试没什么意义,我等小卒也没能力和精力搞了我想你们内部或许有评估过这些个next-gen产品
ccboxes
发表于 2018-8-5 12:35:13 | 显示全部楼层
BeatTrojan 发表于 2018-8-5 12:20
不容易绕过,绕过的话在你不知道模型细节的情况下只能黑盒猜了。要动网络流量那必须动程序,服务端客户端 ...

这倒是,大部分所谓黑客并不具有自主研发能力,对于广撒网的策略来说,代价实在是很大。不过我认为针对性的攻击要伪装自己的TLS连接方式还是难度不高,毕竟即使不知道检测模型,也有一大堆正常程序的流程可以参照,这种检测只能说是多层防御的一环,锦上添花。
ccboxes
发表于 2018-8-5 12:39:22 | 显示全部楼层
Karna 发表于 2018-8-5 12:24
也就是封包和加密是不同的概念,包含关系? 好吧,我真正想说的是解密

也不是包含,是完全独立的关系。

对于HTTPS连接,如果不进行劫持,进而解密,那么对于IPS来说有意义的内容只剩下HTTPS握手时通过HTTP传递的配置信息和传输时数据包的表头。从这些东西中能获得的信息很有限,从目前来看,不考虑隐私问题,还是在端点上就劫持解密最好。
ccboxes
发表于 2018-8-5 12:48:26 | 显示全部楼层
Karna 发表于 2018-8-5 12:24
也就是封包和加密是不同的概念,包含关系? 好吧,我真正想说的是解密
------------------------------- ...

就是简单的匹配啊,解包后发现数据包的内容符合特征库中的签名,就加以拦截,这种分析对于加密的数据包无能为力。
Picca
发表于 2018-8-5 12:48:56 | 显示全部楼层
ccboxes 发表于 2018-8-5 12:39
也不是包含,是完全独立的关系。

对于HTTPS连接,如果不进行劫持,进而解密,那么对于IPS来说有意义的 ...

我当时的意思是难道不能直接分析加密的数据,你的意思是加密后数据的特征变化完全不可掌握,不能用某些统计学特征,信息熵来进行判断? 抱歉我还没学计算机网络,询问就到这吧,不浪费大佬的时间了。
ccboxes
发表于 2018-8-5 12:52:34 | 显示全部楼层
Karna 发表于 2018-8-5 12:48
我当时的意思是难道不能直接分析加密的数据,你的意思是加密后数据的特征变化完全不可掌握,不能用某些统 ...

当然不能,这就是加密的意义。
BeatTrojan
发表于 2018-8-5 13:17:16 | 显示全部楼层
B100D1E55 发表于 2018-8-5 12:29
的确是,Cylance之前初步开放给个体户的时候论坛里试用的几个同学都是哀嚎一片,基本是神是鬼都杀。而企 ...

是,去年智量还在实验室的时候都评估过了, 用了15000个国外样本,大家的检测率都差不多, SentinelOne和EndGame的检测率稍高一点。 CrowdStrike和Cylance的误报多一点。其中Cylance的误报是其它平均3倍左右。不知道融那么多资干嘛去了。智量也就中等偏上的位置.



误报测试很看样本出处,不是很好测试,要是用中国的样本,这些误报都奇高无比。

评分

参与人数 1人气 +1 收起 理由
191196846 + 1 原创内容

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-15 17:26 , Processed in 0.074681 second(s), 16 queries .

快速回复 返回顶部 返回列表