楼主: B100D1E55
收起左侧

[ESET] EESv7的动态威胁防御介绍

  [复制链接]
Jason_Tatakor
发表于 2018-8-28 14:52:56 | 显示全部楼层
B100D1E55 发表于 2018-8-28 12:57
Lucid Chart,Draw.io,Visio都可以。

PPT是一些博士论文制图的必备工具倒是

相对来说哪个好用些啊,推荐一个啊,正需要一个这样的软件,PPT太麻烦了
B100D1E55
 楼主| 发表于 2018-8-29 08:48:50 | 显示全部楼层
yhzhang 发表于 2018-8-28 14:52
相对来说哪个好用些啊,推荐一个啊,正需要一个这样的软件,PPT太麻烦了

Visio是收费软件,剩下两个有免费版,比如Lucid Chart免费版基本功能都有但是有限制绘图元素的数量。我个人比较常用Draw.io因为其和Google Doc有很好的整合(比如google doc内可以直接插入draw.io的图片)

有墙的顾虑的话最简单的答案就是挑没有被墙、连接速率快的那个
B100D1E55
 楼主| 发表于 2018-8-29 08:50:25 | 显示全部楼层
yhzhang 发表于 2018-8-28 14:52
相对来说哪个好用些啊,推荐一个啊,正需要一个这样的软件,PPT太麻烦了

之前的回复被吞了,最简单的答案就是有钱用visio,剩下的哪个连接快用哪个
kakenhi
发表于 2018-9-12 17:04:22 | 显示全部楼层
本帖最后由 kakenhi 于 2018-9-12 23:04 编辑

上传样本->云端分析->判定,这种模式有缺点,不能完全模拟样本的执行环境。

比如,样本需要加参执行,样本依赖注册表数据,样本依赖其他文件,样本是下载者且下载源有IP过滤。这样会造成很多逃逸事故。

Symantec Endpoint Protection的沙箱就比较好。信誉度低的文件会自动放进去跑,它是本地沙箱,完全模拟样本的执行环境。虽然耗时(表现就是启动一个陌生EXE时会等很久才有反应),但结合云端信誉判定,会变得越来越聪明。

B100D1E55
 楼主| 发表于 2018-9-12 21:30:02 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-9-12 21:31 编辑
kakenhi 发表于 2018-9-12 17:04
上传样本->云端分析->判定,这种模式有缺点,不能完全模拟样本的执行环境。

比如,样本需要加参执行,样 ...

就算完全模拟样本执行环境,绕过的方法多了去了,随便加一点复杂的用户交互这些普通沙盘都要跪,更别提定时炸弹这种环境无关的手段。客户端本地沙箱比云沙箱还要弱鸡得多,而且其实ESET扫描引擎本身就是沙箱。

ESET的云端分析不仅仅是普通沙箱,还有其他手段防止你说的这些问题。我n次看到恶意样本在沙箱里直接crash但还是被逮出来了,所以说大家都不是傻子,而能一劳永逸解决你说的这些个问题的方法也并不存在。
kakenhi
发表于 2018-9-12 22:08:22 | 显示全部楼层
B100D1E55 发表于 2018-9-12 21:30
就算完全模拟样本执行环境,绕过的方法多了去了,随便加一点复杂的用户交互这些普通沙盘都要跪,更别提定 ...

1. 复杂的用户交互确实可以绕过SEP本地沙箱,但同样可以绕过云端的沙箱。

2. 定时炸弹是不能绕过SEP沙箱的。所谓的定时炸弹,如果你指的是重启驻留型恶意软件,则涉及启动项的添加和低信誉度PE文件的释放,沙箱会直接报毒。如果是延时运行,他会等你,你延时多久他等多久。

3. 恶意样本在沙箱里崩溃但是报毒,很明显这不是沙箱的功劳。。

4. 一劳永逸解决样本逃逸的方法确实不存在。但解决我说的那几种逃逸模式的方法却存在,那就是SEP的本地沙箱。所以,我并没有看到云端沙箱的优势。

   
kakenhi
发表于 2018-9-12 22:19:56 | 显示全部楼层
本帖最后由 kakenhi 于 2018-9-12 22:29 编辑

另外,关于你说的ESET扫描引擎本身就是沙箱。。ESET我也是玩过的,你说的这种“沙箱”顶多被称为启发式,和SEP的SONAR沙箱完全不是一回事。这种沙箱不能完全模拟运行时场景,也不能完全模拟系统功能。

对付启发式“沙箱”,我们可以写一个通用的BypassHeuristicScan()函数。该函数在真实环境中会返回正确解,在启发式环境中会返回错误解。将函数的返回值作为key来解密关键数据,即可绕过启发式扫描。

B100D1E55
 楼主| 发表于 2018-9-12 22:30:34 | 显示全部楼层
kakenhi 发表于 2018-9-12 22:19
另外,关于你说的ESET扫描引擎本身就是沙箱。。ESET我也是玩过的,你说的这种“沙箱”顶多被称为启发式,和 ...

在你所谓的真沙箱里照样可以这么做啊,所以才会有厂商搞什么符号执行,执行路径覆盖率检测之类的,辅以静态检测来避免这种问题。不要以为启发式沙箱就没有对你说的这种手段进行对抗
B100D1E55
 楼主| 发表于 2018-9-12 22:36:30 | 显示全部楼层
kakenhi 发表于 2018-9-12 22:08
1. 复杂的用户交互确实可以绕过SEP本地沙箱,但同样可以绕过云端的沙箱。

2. 定时炸弹是不能绕过SEP沙 ...

我觉得你把定时炸弹问题想得太简单了。如果是sleep函数那种没营养的方法那是个厂商基本都处理过,但各种更猥琐的方法还有很多,衍生出来的timing attack更多。而且我刚才说的其实也包括只在特定某个时间段活跃的样本,过期或者日期没到就自退出,那种靠等根本没用
显然不是沙箱功劳也说得过于绝对,有时候恶意代码在内存内展开但是执行路径崩溃照样可以yara匹配出来,这时候仍旧是沙箱的功劳

云端沙箱的确是有各种问题,但成本优势在那里。
kakenhi
发表于 2018-9-12 22:43:51 | 显示全部楼层
B100D1E55 发表于 2018-9-12 22:30
在你所谓的真沙箱里照样可以这么做啊,所以才会有厂商搞什么符号执行,执行路径覆盖率检测之类的,辅以静 ...

在SEP的沙箱里不能这么做。因为SEP沙箱完全模拟了真实的系统场景,包括释放文件、执行脚本、访问网络,得到的结果都跟真实环境一样。但ESS的启发式沙箱不能模拟这些,可以绕过。

符号执行和路径覆盖率检测不能对抗BypassHeuristicScan()。你可能误解了生成key的方法,它们不是这样:

  1. if (operation_result == correct_result)
  2. {
  3.    return correct_key;
  4. }
  5. else
  6. {
  7.    return incorrect_key;
  8. }
复制代码


而是这样:

  1. key += hash(operation_result);

  2. return key;
复制代码

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:36 , Processed in 0.100325 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表