抄抄抄反例!!

显示全部楼层 · 发表于 2018-8-19 17:58:18

本帖最后由 kxmp 于 2018-9-1 17:22 编辑

昨天我看见样本区有个重启样本
我的小筆電一直被連續重開機,結果發現是病毒搞的鬼

当时只有几个安软报了

我听说什么bd抄袭eset 被某人抓了个正着.
而且还有很多安软抄袭卡巴连误报的名字都一样.

我也不知道真相是什么
但是这里有个反例

1扫https://www.virustotal.com/zh-tw ... nalysis/1534405707/

这个样本我记得昨天ik是报的win32.outbreak(二扫或者n扫) 今天他改名字了.

https://www.virustotal.com/#/fil ... 0f44709d3/detection 今天最新
ESET报的是Shutdowner
其他一大堆也没几个跟着报关机或者重启的吧
卡巴现在报了重启
趋势也没跟着来啊
bd也没跟着eset来个什么Shutdowner

咖啡也是都是老一套的经典报毒名
2018-09-01 17:19:12
eset不报 bd报
https://www.virustotal.com/#/fil ... 015524b64/detection
https://www.virustotal.com/#/fil ... bcf81ebc7/detection

eset报 bd不报
https://www.virustotal.com/#/fil ... 76bdcb87a/detection

显示全部楼层 · 发表于 2018-8-19 20:16:11

随意！抄不抄改变不了什么........
相反一路抄下去吃枣药丸........相信多少有点点自信~
那些偶尔为之的，可能是合作关系？

显示全部楼层 · 发表于 2018-8-19 23:23:23

趋势那是人家报跟着拉黑。。。

显示全部楼层 · 发表于 2018-8-20 07:38:56

抄来抄去没什么...

显示全部楼层 · 发表于 2018-8-20 07:49:27

是借鉴

显示全部楼层 · 发表于 2018-8-20 08:08:34

报毒名不一样不能说明什么的。各家都有通用报毒名。

显示全部楼层 · 发表于 2018-9-1 17:23:17

帝辛发表于 2018-8-20 08:08
报毒名不一样不能说明什么的。各家都有通用报毒名。

有人说报毒名一样就是跟着抄
有人说不一样也是跟着抄

今天我找了个2边都不报的

显示全部楼层 · 发表于 2018-9-2 02:00:31

本帖最后由 B100D1E55 于 2018-9-2 02:13 编辑

粗略地证明抄至少需要四个特定条件
1. 测试程序在测试期间只有测试者拥有
2. 测试程序不能有任何可疑特征（比如添加启动项、加壳之类的）
3. 测试程序不能是常见白文件
4. 不能告知任何安软厂商这件事，文件广度要小

其中1是为了防止有人偷偷上报部分厂商解除误报，这时候就算厂商A抄了厂商B，如果有人上报了A就出现了A不报B报的情况
2则是为了防止争议，因此注册机、trainer就算客观是无害的也不能作为测试程序，潜在不安全/潜在不受欢迎同理，因为不同厂商判毒界线可能有差异
3这点非常直白了，如果是常见白文件首先就不大可能被大厂误报，就算被误报了在测试者不知情地前提下被用户上报解除误报也是有可能的。
4这点算废话，但的确不能自己写了一个程序然后上报让人工分析，会出现额外人为变量。文件广度小很大程度上避免了被人工分析的可能性

现在回顾我当时测试的方法：1）程序是自己写的 2）是正常编译器（gcc）直出，不带任何混淆，行为只有弹一个窗口和写一个正常内容的txt文件，因此行为特征上毫无争议是无害的。在这种情况下如果报毒名相同说明安软厂家恰好都误分拣到同一个类别，这种概率能有多大呢 3）测试期间只有我有程序，因此杜绝了论坛上有人上报的可能性 4）程序对所有厂商的暴露只有VT这个渠道

现在看一下你主楼的几个反例：
首先第一个vt链接报毒的基本是NGAV厂家，不知道为什么是反例
第二个VT链接里：趋势只对少数家族会报明确毒名，剩余的都是housecall秒速拉黑，过几天如正式库，而且全都是滚键盘毒名。这点BD、McAfee等也是一样。没有明确报出病毒类别是嫌疑最大的，因为（跟风）拉黑可能性很大，比如Malware.gen, filerepmalware这种和稀泥的报法，滚键盘报法同理。反倒如果对满足上述四个条件的样本报出了一个不同的毒名则可姑且算是一个证明清白的例子。对于一些流行毒厂商各有各的报法这点很正常，可能他们各自捕获并分析了，然后起了不同名字，毕竟他们的分析师又不是纯粹吃白饭的。但这些不代表他们自动系统就没抄的嫌疑
第三个VT是ESET不报BD报：我看不出这算什么反例，BD若抄了ESET，说明ESET的检出可能是BD的子集，那么BD报ESET不报完全有可能。而且从来没有人规定只能抄一家，也没人规定除了抄之外厂商就不能有自己的检出机制（比如毒区就出现BD对腾讯白文件都拉黑的情况，其他厂商都没报，说明他们有另外的潜在高误报检测拉黑机制，但这和它可能抄的猜测不矛盾）
而最后那个ESET报BD不报：首先ESET报的是potentially unsafe，这个检测客户端默认是关闭的，其他厂商很有可能选择不抄ESET的PUA和PUS检测，因为如果一起抄的话金山腾讯全跟着被一起杀。其次，就算真的参考了PUS报法，也可能有人给BD上报了解除误报而ESET仍报毒，甚至有可能文件直接落在BD白名单里因此不报。因此这也算不上反例

总的来说真要证明/反证这点需要严格控制变量，不是随便找一个样本看一下报毒列表就能说明问题的。
其实后台抄/参考其他家鉴定并不是少数几个人的发现，去年blackhat有一家厂商做渗透测试的时候就发现测试Comodo云端沙盘渗透的时候居然收到了来自ESET总部的DNS beacon（他们只把那个样本暴露给Comodo），因此他们推测Comodo可能后台鉴定使用了ESET引擎（如果他们之间没有合作的话）。类似的破事只要是业内人都会告诉你这是一个不算秘密的秘密

显示全部楼层 · 发表于 2018-9-2 14:46:41

B100D1E55 发表于 2018-9-2 02:00
粗略地证明抄至少需要四个特定条件
1. 测试程序在测试期间只有测试者拥有
2. 测试程序不能有任何可疑特征 ...

说的有道理

[讨论] 抄抄抄 反例!!

[讨论] 抄抄抄反例!!