EESv7的动态威胁防御介绍

Jason_Tatakor

B100D1E55 发表于 2018-8-28 12:57
Lucid Chart，Draw.io，Visio都可以。

PPT是一些博士论文制图的必备工具倒是

相对来说哪个好用些啊，推荐一个啊，正需要一个这样的软件，PPT太麻烦了

B100D1E55

yhzhang 发表于 2018-8-28 14:52
相对来说哪个好用些啊，推荐一个啊，正需要一个这样的软件，PPT太麻烦了

Visio是收费软件，剩下两个有免费版，比如Lucid Chart免费版基本功能都有但是有限制绘图元素的数量。我个人比较常用Draw.io因为其和Google Doc有很好的整合（比如google doc内可以直接插入draw.io的图片）

有墙的顾虑的话最简单的答案就是挑没有被墙、连接速率快的那个

B100D1E55

yhzhang 发表于 2018-8-28 14:52
相对来说哪个好用些啊，推荐一个啊，正需要一个这样的软件，PPT太麻烦了

之前的回复被吞了，最简单的答案就是有钱用visio，剩下的哪个连接快用哪个

kakenhi

上传样本->云端分析->判定，这种模式有缺点，不能完全模拟样本的执行环境。

比如，样本需要加参执行，样本依赖注册表数据，样本依赖其他文件，样本是下载者且下载源有IP过滤。这样会造成很多逃逸事故。

Symantec Endpoint Protection的沙箱就比较好。信誉度低的文件会自动放进去跑，它是本地沙箱，完全模拟样本的执行环境。虽然耗时(表现就是启动一个陌生EXE时会等很久才有反应)，但结合云端信誉判定，会变得越来越聪明。

B100D1E55

kakenhi 发表于 2018-9-12 17:04
上传样本->云端分析->判定，这种模式有缺点，不能完全模拟样本的执行环境。

比如，样本需要加参执行，样 ...

就算完全模拟样本执行环境，绕过的方法多了去了，随便加一点复杂的用户交互这些普通沙盘都要跪，更别提定时炸弹这种环境无关的手段。客户端本地沙箱比云沙箱还要弱鸡得多，而且其实ESET扫描引擎本身就是沙箱。

ESET的云端分析不仅仅是普通沙箱，还有其他手段防止你说的这些问题。我n次看到恶意样本在沙箱里直接crash但还是被逮出来了，所以说大家都不是傻子，而能一劳永逸解决你说的这些个问题的方法也并不存在。

kakenhi

B100D1E55 发表于 2018-9-12 21:30
就算完全模拟样本执行环境，绕过的方法多了去了，随便加一点复杂的用户交互这些普通沙盘都要跪，更别提定 ...

1. 复杂的用户交互确实可以绕过SEP本地沙箱，但同样可以绕过云端的沙箱。

2. 定时炸弹是不能绕过SEP沙箱的。所谓的定时炸弹，如果你指的是重启驻留型恶意软件，则涉及启动项的添加和低信誉度PE文件的释放，沙箱会直接报毒。如果是延时运行，他会等你，你延时多久他等多久。

3. 恶意样本在沙箱里崩溃但是报毒，很明显这不是沙箱的功劳。。

4. 一劳永逸解决样本逃逸的方法确实不存在。但解决我说的那几种逃逸模式的方法却存在，那就是SEP的本地沙箱。所以，我并没有看到云端沙箱的优势。

   

kakenhi

另外，关于你说的ESET扫描引擎本身就是沙箱。。ESET我也是玩过的，你说的这种“沙箱”顶多被称为启发式，和SEP的SONAR沙箱完全不是一回事。这种沙箱不能完全模拟运行时场景，也不能完全模拟系统功能。

对付启发式“沙箱”，我们可以写一个通用的BypassHeuristicScan()函数。该函数在真实环境中会返回正确解，在启发式环境中会返回错误解。将函数的返回值作为key来解密关键数据，即可绕过启发式扫描。

B100D1E55

kakenhi 发表于 2018-9-12 22:19
另外，关于你说的ESET扫描引擎本身就是沙箱。。ESET我也是玩过的，你说的这种“沙箱”顶多被称为启发式，和 ...

在你所谓的真沙箱里照样可以这么做啊，所以才会有厂商搞什么符号执行，执行路径覆盖率检测之类的，辅以静态检测来避免这种问题。不要以为启发式沙箱就没有对你说的这种手段进行对抗

B100D1E55

kakenhi 发表于 2018-9-12 22:08
1. 复杂的用户交互确实可以绕过SEP本地沙箱，但同样可以绕过云端的沙箱。

2. 定时炸弹是不能绕过SEP沙 ...

我觉得你把定时炸弹问题想得太简单了。如果是sleep函数那种没营养的方法那是个厂商基本都处理过，但各种更猥琐的方法还有很多，衍生出来的timing attack更多。而且我刚才说的其实也包括只在特定某个时间段活跃的样本，过期或者日期没到就自退出，那种靠等根本没用
显然不是沙箱功劳也说得过于绝对，有时候恶意代码在内存内展开但是执行路径崩溃照样可以yara匹配出来，这时候仍旧是沙箱的功劳

云端沙箱的确是有各种问题，但成本优势在那里。

kakenhi

B100D1E55 发表于 2018-9-12 22:30
在你所谓的真沙箱里照样可以这么做啊，所以才会有厂商搞什么符号执行，执行路径覆盖率检测之类的，辅以静 ...

在SEP的沙箱里不能这么做。因为SEP沙箱完全模拟了真实的系统场景，包括释放文件、执行脚本、访问网络，得到的结果都跟真实环境一样。但ESS的启发式沙箱不能模拟这些，可以绕过。

符号执行和路径覆盖率检测不能对抗BypassHeuristicScan()。你可能误解了生成key的方法，它们不是这样：

1. if (operation_result == correct_result)
   
2. {
   
3.    return correct_key;
   
4. }
   
5. else
   
6. {
   
7.    return incorrect_key;
   
8. }
   

复制代码

而是这样：

1. key += hash(operation_result);
   
2. 
   
3. return key;

复制代码