查看: 14078|回复: 25
收起左侧

[分享] ESET云端Augur引擎的新检测机制

  [复制链接]
B100D1E55
发表于 2018-9-7 12:00:52 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2018-9-7 22:46 编辑

8月底ESET再次更新了AI相关白皮书,标题是“AI能否驱动未来的恶意软件”,讨论了AI被应用在恶意攻击的一些可能情况。比较有意思的是文中进一步披露了一些关于Augur引擎的细节:

Augur引擎主要由两个类别算法支撑,一个是深度学习(LSTM)和全连接网络,另一个是一个多模型的监督学习算法集合,包括向量机、决策树等等
ESET认为综合多种分拣算法有利于加强Augur对“对抗样本”的抗性(参考:https://arxiv.org/abs/1712.03141

Augur样本处理流程:ESET的扫描引擎会对样本进行仿真并提取一系列特征和序列。随后DNA分析会将这些信息处理并输出为特征向量,这被称作xDNA。这些信息会输入到Augur模型中进行评估。值得一提的是近期Augur系统增加了另一个新的分拣子系统:


从描述来看是表层二进制引擎(见上图左侧新增部分)。在这个系统中样本会先被反汇编后进行特征提取,输出的结果会被输入神经网络进行评估。所有的子系统都会生成一个独立的置信度数值,进一步综合为最终分数并将样本标记为无害/PUA/恶意。

(注释:这应该就符合之前EDTD介绍中提到的三套引擎,包括静态检测、DNA检测+神经网络、DNA检测+6个分拣模型,然后还有EDTD额外的沙箱分析)

为了展现Augur在真实世界中的侦测能力,ESET提供了一组数据:他们使用2017年1月的Augur模型来检测几大类后来爆发的家族:WannaCryptor.D(2017年5月12日入库),Diskcoder.C(2017年6月27日入库,也称为Not Petya),Diskcoder.D(2017年10月24日入库,也被称为坏兔子),Crysis(攻击大中小企业常见的勒索病毒家族)

恶意家族 样本数量 Augur检出数量检出率
Diskcoder.C16 10 62.5
Diskcoder.C (内存检测)86 85 98.8
Diskcoder.D17 14 82.4
Diskcoder.D (内存检测)20 20 100
Filecoder.Crysis113 112 99.1
Filecoder.Crysis (内存检测)30 30 100
WannaCryptor.D15 13 86.7
WannaCryptor.D (内存检测)67 67 100


这些结果显示在这些恶意程序出现前数个月的Augur模型就对这些新样本有很高的检测率。特别是就算一些样本在非执行的时候绕过了Augur侦测机制,执行后在内存内也能以极高概率被检测出来。当然Augur只是整个纵深防御的环节之一。

白皮书链接:https://www.welivesecurity.com/w ... _Future_Malware.pdf

个人感想:可能有人觉得奇怪:既然17年1月的模型就能检测出wannacry,为什么当时5月爆发的时候第一时间客户端没有检出?
关于这点可以把黑客和AV厂商的博弈看作猜拳,本地引擎的查杀就好比AV厂商先出手,而此时黑客自然就懂得出什么对应的招才能胜利。因此公平的博弈则是双方同时出招,这就需要靠云端完成。在实际操作中,黑客在不知道杀软云端能不能侦测的前提下先出招,而杀软云端捕获了样本后同时出招(这是一个公平的博弈,因为杀软的自动系统当时并不知道捕获的样本哪些是恶意的哪些不是),从而有一个较为公平的对抗。这也是为什么当今杀软云端查杀是如此的重要。免杀本地客户端的意义变小了,因为只要云端模型足够强大、响应速度够快,在新毒扩散开来之前就能被及时遏止住。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4分享 +3 魅力 +1 人气 +10 收起 理由
愤怒の葡萄 + 1 版区有你更精彩: )
屁颠屁颠 + 3 + 1 + 3 版区有你更精彩: )
wangkaka + 3 版区有你更精彩: )
renyifei + 3

查看全部评分

飞碟1234
头像被屏蔽
发表于 2018-9-7 12:58:44 | 显示全部楼层
只好奇这是个人版还是企业版
renyifei
发表于 2018-9-7 13:13:04 | 显示全部楼层
飞碟1234 发表于 2018-9-7 12:58
只好奇这是个人版还是企业版

augur是ESET的机器学习技术,个人企业版都有的
renyifei
发表于 2018-9-7 13:13:32 | 显示全部楼层
本帖最后由 renyifei 于 2018-9-7 13:47 编辑

简单看了一下,和之前的白皮书相差不多,有些部分可以跳过
而我到底是谁
发表于 2018-9-7 15:12:26 | 显示全部楼层
renyifei 发表于 2018-9-7 13:13
简单看了一下,和之前的白皮书相差不多,有些部分可以跳过

楼主第一句话
8月底ESET再次更新了AI相关白皮书
,是更新了,不是发布了新的。
B100D1E55
 楼主| 发表于 2018-9-7 22:35:01 | 显示全部楼层
飞碟1234 发表于 2018-9-7 12:58
只好奇这是个人版还是企业版

这个就是LiveGrid上面那个机器学习引擎,所以所有产品都有更新。不过这种侦测率的改进不容易直观感觉到
B100D1E55
 楼主| 发表于 2018-9-7 22:36:20 | 显示全部楼层
renyifei 发表于 2018-9-7 13:13
简单看了一下,和之前的白皮书相差不多,有些部分可以跳过

所以我只挑了比较值得提及的部分贴上来
Picca
发表于 2018-9-8 00:45:00 | 显示全部楼层
给的测试样本数量较少,而且都是勒索,没backdoor、rat一类的。感觉除开沙箱内存检测的Augur并不能算很强,毕竟是给企业防针对性攻击的。像大大的那篇沙箱逃逸文章,不知道eset的这个沙箱短板控制的如何,和其它家的企业沙箱比有什么特别地方,比如某KATA
歌德塔大蜘蛛
发表于 2018-9-8 14:12:15 | 显示全部楼层
最后一句是重点
只要云端模型足够强大、响应速度够快,在新毒扩散开来之前就能被及时遏止住
christina7358
发表于 2018-9-8 14:31:53 | 显示全部楼层
学习ing
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 17:15 , Processed in 0.134212 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表