EESv7的动态威胁防御介绍

B100D1E55

kakenhi 发表于 2018-9-12 22:43
在SEP的沙箱里不能这么做。因为SEP沙箱完全模拟了真实的系统场景，包括释放文件、执行脚本、访问网络，得 ...

嗯你说的这点我赞同，这个的确是一个问题。对于这种手法现阶段执行前估计只能是kryptik检测，后续靠内存扫描、行为防御和EDR。不过你说的这种沙箱机制并不是没有问题，至少信息泄露是没差了

kakenhi

B100D1E55 发表于 2018-9-12 22:36
我觉得你把定时炸弹问题想得太简单了。如果是sleep函数那种没营养的方法那是个厂商基本都处理过，但各种 ...

1. 你说的猥琐方法，请举例说来看看呢。

2. 利用日期绕过沙箱，是可以绕过某些启发式沙箱，但恰恰没办法绕过SEP的沙箱。因为SEP的沙箱生效的时机就是在用户运行一个程序的时候。如果过期，则样本无害。如果是在规定的时间段内，则能被SEP沙箱检出。

3. 对展开后的代码进行特征匹配，是沙箱的基本功能，无论是在线沙箱，本地沙箱，还是启发式扫描，都会做这个。因此你说的这种样本无论在哪一个沙箱中都能检测出来。另外，使用我之前说BypassHeuristicScan模式的恶意代码是无法在ESS启发式扫描中展开的，但在SEP本地沙箱和ESS云沙箱中可以展开。如果把展开key保存在外部文件/注册表中，则ESS云沙箱也无法展开，但SEP的本地沙箱依然可以展开。

kakenhi

B100D1E55 发表于 2018-9-12 22:51
嗯你说的这点我赞同，这个的确是一个问题。对于这种手法现阶段执行前估计只能是kryptik检测，后续靠内存 ...

关于信息泄露的问题我赞同。如果在沙箱模拟过程中计算机(沙箱模拟器)表现出了对外行为，则可能导致信息泄露甚至网络攻击。所以SEP为了压低逃逸率，做得是有些过头。

kakenhi

B100D1E55 发表于 2018-9-12 22:51
嗯你说的这点我赞同，这个的确是一个问题。对于这种手法现阶段执行前估计只能是kryptik检测，后续靠内存 ...

有个地方触及到了我的知识盲区，请教一下。。

kryptik检测是什么？

B100D1E55

kakenhi 发表于 2018-9-12 22:56
1. 你说的猥琐方法，请举例说来看看呢。

2. 利用日期绕过沙箱，是可以绕过某些启发式沙箱，但恰恰没办 ...

WaitForSingleObject加多线程之类的几种组合一下就行了，只要不让沙箱知道要等多长时间。
至于时段的话，在样本未生效的时候进入企业计算机，那时候沙箱执行不出来并取得persistence，等过几天时间到了再开始执行就行了，反正程序不可能一直在沙箱里。当然persistence本身很可疑，但有的服务器万年不重启因此不获取persistence应该也可以。

其他的之后再回复吧，现在比较忙

kakenhi

B100D1E55 发表于 2018-9-12 23:28
WaitForSingleObject加多线程之类的几种组合一下就行了，只要不让沙箱知道要等多长时间。
至于时段的话 ...

不太理解。。

1. SEP的沙箱不需要知道等多长时间，你wait多久它就等多久，Sleep也不处理的，完全仿真。特别是对没交互的程序，他根本不会管你跑不跑得完。你要一直wait他沙箱就一直跑。。

2. 取得persistence又是什么黑话。。没看懂，请解释一下？

3. 请解释kryptik检测。

你这说得太隐晦了，搜索都搜索不到。。看起来又不是啥高精尖技术，至于这样吗？

B100D1E55

kakenhi 发表于 2018-9-12 23:46
不太理解。。

1. SEP的沙箱不需要知道等多长时间，你wait多久它就等多久，Sleep也不处理的，完全仿真 ...

修改一下回复避免更多口水

1. 先确认一下，你说的是那个Cynic吧。我不懂为什么SEP沙箱就不需要知道等多长时间，望不吝赐教。如果不知道要等多长时间，那怎么决定程序什么时候出沙，难道Cynic还不会超时？如果程序wait时间极长怎么破
2. Persistence的解释在这里，这是业界常用词汇而非什么故弄玄虚的高端用语，只不过我不清楚中文对应什么词：https://attack.mitre.org/wiki/Persistence

3. Kryptik检测我当时指的是混淆器检测，只要syscall之类的特征匹配到的话不用实际解密就可以报毒。当代扫描引擎或多或少都有识别解密loop的能力，这些方法都有局限性，但总比没有好。

我今天上午实在是忙，偷偷摸鱼用手机艰难地码字回复了一下就被当作故弄玄虚也很冤啊。一开始我看你也懂不少东西估计这些东西都知道所以回复就随便一点了

kakenhi

B100D1E55 发表于 2018-9-13 06:05
修改一下回复避免更多口水

1. 先确认一下，你说的是那个Cynic吧。我不懂为什么SEP沙箱就不需要知道等 ...

1. 不是，我说的是Symantec Endpoint Protection本地的沙箱。它是怎么决定出沙的，这个我还真没测过。我测试的时候最长的跑了将近一个小时，展开的时候报警了。关于这个问题，我想了一下，会不会是程序在wait时和工作时行为特征有明显区别，SEP靠检测这种特征的区别来决定出沙时机。。不过这仅仅是推测。

2. 感谢解答。因为我不是专业搞安全这一行的，所以没怎么读过相关文献，对行业术语也了解得较少，让你见笑了。。

3. 你这里说的syscall特征匹配是指匹配整个程序的导入表特征，还是指检测解密相关的API调用？不过解密都是数学运算，好像不需要调用什么API啊。。

dragongate888

ESET endpoint security    v.7.0.2091.0   available   ?

B100D1E55

dragongate888 发表于 2018-11-20 01:58
ESET endpoint security    v.7.0.2091.0   available   ?

yep