BitDefender企业版使用报告（更新沙盒部分）

B100D1E55

BitDefender的企业版产品线称为GravityZone，其产品布局和ESET企业版非常相似（其实两家公司也有很多相同点，比如都是私人企业，员工数量都在1600这个水平，都是东欧厂商……）。但在产品具体细节上又有很多不同，细致对比后会发现很多有趣的产品设计差异，体现了两家公司不同的开发思路。

从去年Gartner魔力象限的报告来看BD落在梯队后方，主要由于其企业方案市占率不够高且品牌知名度不够。但总体而言BD提供了一条较为完整的企业方案。和没有EDR等高级功能的厂商相比（例如Avast，Avira，这也是为什么这两家都没有在上图中出现）仍有不小的优势。

GravityZone分为三条产品线，分别是Advanced Business Security，Elite Security，和Ultra Security。其中第一个和BD家庭版防护强度一致，比如都包含了扫描引擎、ATC以及防火墙之类的功能。而Elite则增加了更激进的检测模型和云端沙盒系统，最终Ultra在Elite的基础上增加了EDR功能。
这个布局和ESET的大致一致：例如最基础的Advanced类似于ESET面向小型企业的基础版EES，而Elite对应ESET给中等规模以上企业提供的动态威胁防御，最后Ultra对应ESET给大型企业提供的EDR方案Enterprise Inspector。但两者在细节上有不少区别会在后文展开叙述。这里我试用的是Elite，不包含EDR功能。

本来之前想写ESET EDR系统的试用评测不过一直坑着到现在不了了之了，所以打算这篇先在版区挖个坑之后慢慢填。由于不想写太长因此大部分篇幅将用于介绍企业版和家庭版不同的部分。请勿问我要key谢谢



HyperDetect

Elite和普通企业版的主要区别之一在于这个HyperDetect技术（后略为HD）。HyperDetect在普通BD扫描引擎基础上新增了5个敏感度可调的机器学习分拣器，分别面向针对性攻击、可疑文件和可疑流量、漏洞利用、勒索程序、PUA五种企业常见威胁。默认情况下HD的侦测在客户端静默，后台汇报给中控端，但也可以选择客户端检测后直接隔离。在敏感度上有三个级别，和ATC敏感级别类似。

从官方的描述来看，HD是复杂的本地+云端机器学习模型以及隐蔽攻击检测技术，用于检测：
1. 潜在PowerShell恶意利用例如：无文件shellcode，本地或远程下载和执行代码行为，信息窃取（invoke-mimikatz等），powersploit命令（端口扫描、dll注入、键盘记录、系统驻留），混淆/隐藏技术（Base64混淆后的命令行等），浏览器/非常见程序启动的代码，免杀尝试等
2. 已知壳
3. 非已知编译器编译的文件
4. 未知壳
5. 搜索应用程序中可能暴露其为勒索程序的字符串
6. 常见信息窃取/APT使用的工具（比如一些密码破解工具）
7. 为一些特定漏洞生成的URL
8. 可以执行树（例如powershell执行的可疑文件）
9. 可疑命令行
10. PUA
HD的设置较为灵活，例如管理员可以让其直接隔离普通敏感度下检测到的可疑文件，而将高敏感度检测到的可疑程序静默汇报给管理中控台。

一一测试上述的检测项目需要花费一些时间来制作测试样本，目前尚未有时间倒腾出一个完整的测试计划，但从简单的使用情况来看其的确会检测出一些普通引擎没法检测到的恶意程序。BD算是比较难得的对易语言程序非一刀切的海外厂商，对于一些未入库但是有恶意行为的易语言程序HD的确有检出，其报毒名的前缀是Illusion。在坏兔子爆发的时候HD能够直接0day检测出恶意程序，报毒名为Gen:Illusion.ML.Skyline.10101（参考：https://labs.bitdefender.com/2017/10/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye/）BD当年宣传说坏兔子爆发前两个月的HD模型就已经检出payload——估计这也是把检测模型藏在企业版的好处之一了。
HD可以看作是普通实时扫描程序的延申，当普通毒库和启发未检出的时候若HD检出就会报毒，且会在端点记录结果：


其中上面一条是待扫描文件触发了HD普通阈值后被隔离的记录，而下面的HD检测则是当文件触发了HD高敏感检测但没达到我设定阈值时的处理方式，即仅通知用户但不作任何处理

在部署ESET agent的时候曾经触发了HD的报毒（ESET agent的安装是他们提供的bat文件触发下载然后再通过vbs配置，所以类似downloader行为），从下面截图可以看到他们的机器学习模型高敏感模式检测到疑似威胁，但因为策略中报毒阈值设定为普通，因此仅仅是提示用户并没有做任何其他处理。总体来说敏感度可调比较人性化，例如对于关键位置的服务器进行更严格的封锁/禁运，而对于非关键端点可以适当放宽检测



Sandbox Analyzer
BD企业版也提供了沙盒服务。其实BD支持两种沙盒，一种是on-premise，即线下客户自己部署，另一种则是cloud，即将文件上传到BD自己的云服务器进行分析。启用沙盒组件后对于端点用户，BD会将可疑程序自动上传。注意BD沙盒不会上传所有未知文件，而是仅上传他们本地机器学习引擎觉得值得上传的文件。这也意味着倘若一个威胁在一开始就被判定为非可疑文件，这个威胁也不会被上传到云沙盒。不过在实际使用情况中我觉得这个阈值比较低，目前没遇到过威胁绕过沙盒上传的情况。大部分小众程序都会被BD上传，甚至是一些使用数量不低的程序，我觉得他们的判断机制很迷。

这点和ESET策略不同。ESET的动态威胁防御会上传用户所有未知文件（即livegrid没有收录的，当然具体到拓展名可以设置以控制隐私），也因此ESET的云服务器潜在样本处理压力较大。为了加快报告输出速度，当待测文件上传到动态威胁防御服务器后ESET会先用更敏感的仿真引擎进行扫描，这个引擎应该类似于ESET客户端扫描引擎，但报毒阈值更低且仿真深度更深。倘若在第一阶段仿真后机学引擎返回是毒则不会执行后续动态分析。



BD沙盒和ESET沙盒另一个区别在于BD沙盒可以设置禁运（如上图），也就是说当本地检测可疑上传到沙盒分析时，BD可以设置为禁止执行这个程序直到沙盒返回结果，若沙盒判毒则进行清除。我一开始以为这个策略仅适用于用户通过explorer执行程序的情况，否则正常程序组件执行子程序时被判定为可疑会导致奇怪的问题。后来发现我想多了：任意程序只要访问可疑程序BD就会立刻禁运可疑程序。我在使用PLEX服务器的时候就曾经出现BD自动上传了一个PLEX的编码器程序导致沙盒鉴定时PLEX程序因为无法访问编码器出现执行异常的情况。

BD的策略对立于ESET只允许待测程序继续执行的策略。这里可以体现出两家设计的坚持点的不同：ESET向来坚持安软不应该打扰到用户的正常使用，因此在文件鉴定的时候程序会继续在端点执行，而BD则比较激进。不过这也和两家不同的上传策略有关。

当沙盒返回结果是毒的时候，可以选择不采取任何动作、禁止访问、或者隔离之类的处理方式。其实这点非常重要，因为沙盒判识阈值敏感，有时候会出现误报。在我使用ESET沙盒的几个月内，他们的系统就曾在我机器上出现过一次误报——对一个系统的PS脚本进行了隔离。后续我甚至在论坛看到其对系统核心组件误报过的反馈（不过所幸误报的是更新时候释放的系统组件，因此仅仅是系统更新失败，这说明他们没有简单地对微软数签进行白名单）。这也许是为什么ESET不允许禁运策略的原因之一：倘若禁运的是系统组件，很可能出现系统崩溃的现象。此外这也侧面反映出过分依赖机器学习的潜在危险，就算是ESET这种老厂仍有出车祸的可能性。大部分厂商仅仅将这类防御部署在企业产品的原因之一就在于企业的IT管理员对付这类误报比普通用户要有经验不少。

当然，允许沙盒鉴定的同时在端点运行可疑程序有很多潜在风险。例如对于母体自删除的程序怎么清除？对于注入的程序怎么清除？很遗憾的是我当时并没有测试ESET这方面的对策，目前为止也没时间测试BD的对策，若有结果以后更新上来。

在沙箱检测到未知威胁时，ESET比BD做得好的一点在于ESET会将结果立刻和企业LAN管理端进行广播，因此其他端点要是遇到类似威胁也会马上隔离。当然这个技术也很原始，就是HASH隔离，要是内网传播的威胁会自变形那就只能重新鉴定了。而BD则不会内网广播，而是每个端点都会触发上传。更挫的一点在于就算在同一台机子上，同一个文件鉴定后被放在其他路径执行会再次进行鉴定，我估计他们鉴定后的排除仅仅就是根据路径…………吗？


在第一次执行可疑程序的时候若设置为禁运模式BD会禁止程序执行并提示样本已经上传到沙箱进行鉴定

当沙盒判定为威胁后对应端点就会隔离可疑文件
BD允许用户手动上传样本，但其使用交互和ESET大不相同。对于ESET，普通端点用户也可以上传样本鉴定，只需要用右键菜单的未知文件上传功能即可（对的就是普通消费版也有的那个选项，只不过如果端点激活了动态威胁防御，这个功能则对接到他们的沙盒服务器而不是LiveGrid）。而BD的上传只能通过网页管理端进行。我觉得就这点而言ESET的思路更巧妙一点

从目前使用情况来看BD对样本的判定时间大约在5~6分钟，比ESET耗时略长（ESET一般判定时间在2~4分钟）


不过虽然BD只能从网页端上传，其提供了更多选项，包括能够提供cmd argument（对条件触发炸弹管用），能够对zip包内的程序进行综合爆破（对那种喜欢把资源文件分块的恶意程序来说这个功能比较有效），甚至还提供了压缩包解密密码选项。一次限制上传5个文件，估计是怕有人对服务器进行洪水上传。相比起来ESET并不支持这些功能，惨


不仅如此，沙盒还能设定爆破时间（对付延迟执行的恶意样本），爆破次数（对于有机率自崩溃以逃避沙箱检测的样本），也能允许网络访问。不过网络访问是个双刃剑，企业鉴定沙箱的网络访问很容易成为企业信息泄露的侧信道之一。
BD的沙盒判定和ESET类似，综合了静态分析和动态分析。虽然BD的GenericKD系列一直让我对其印象不好，但实际上BD的技术储备还是挺多的，他们不仅和本地顶尖高校（University of Iași）合作发了很多机学相关的论文，而且专利也相当多。

说到BD的扫描引擎，虽然GenericKD抗修改性很差，但基本上这些入库的毒一段时间后就会被机器学习整理为广谱特征（Gen开头）因此不会被简单免杀。我去年曾经试着对BD GenericKD入库的老毒进行采样，发现大部分用原先免杀GenericKD的方法简单修改后并不会绕过扫描引擎而是会变成Gen报毒，说明BD引擎内有多重匹配机制。其实这样的机制对性能优化是很有帮助的，代价则是毒库大小，这是典型的编程中“体积换速度”的思路。然而BD迷的地方不少，例如实时监控报毒速度时快时慢，有时候文件写入磁盘立刻报毒，有时候则会延迟数十秒，不知道是什么原因。或许这点老用户比我更清楚是为什么。

BD沙盒的判定非常神奇，按理来说它应该会内置ATC类似的计分板，但实际情况来看两者是独立的，也就是说有可能沙盒不报毒而ATC报毒（并不是反虚拟机样本），这点非常迷。BD沙盒判别不仅仅是通过行为，倘若仅通过行为那么检出率不会太高，所以其黑/白鉴定有不小的成分是云端的（静态）机器学习引擎。从我的测试情况来看沙盘传上去静态鉴定为黑后不久普通客户端也会出现Gen.Suspicious.Cloud这个家族的报毒，说明有联动。


本地引擎无法检出的样本有时候云端静态引擎直接就能检出，同时会告诉你是哪个模型。比如上图通过名为Miata的Bagging算法模型检出是恶意程序
总体来说BD的沙盒检测分为几个部分：

• 扫描引擎检测
• 机器学习模型静态检测，模型非常多，参考BD区报毒名那篇
• 行为检测，其中对ransom这种有特殊处理
• 内存dump检测，检测待测程序dump是否和已知威胁类似
• 进程监视器检测，通常为检测漏洞之类的可疑行为，会进行打分，但不同于ATC那种计分板系统
  

BD沙盒报告的行为输出比ESET沙盒详细得多，虽然不像大蜘蛛VxCube那样图文并茂，但至少详细地以文字形式列出了样本行为。相比之下ESET就非常小气了：

上图是典型的一份ESET沙盘报告样本，一般只会给出主要的高危行为但无任何具体细节。在这个样例中，不仅ESET云端扫描引擎直接发现样本为恶意，运行后通过机学引擎也发现其行为类似于已知恶意程序。这里的措辞有意思的一点在于其检测基于“和已知恶意程序的相似度”。如果是全新的行为呢？我之前测试过不过还是不多说了



BD的报告样例如上图，上图样本来自petr0vic同学前两天的ransom。



除了行为报告外也包含了样本对应的MITRE ATT&CK矩阵里的行为。


（待续）
P.S. 我一定会填坑的，只不过最近事情比较多

grantzoo

BD的企业版在国内很少见吧，感觉BD不重视中国市场

B100D1E55

grantzoo 发表于 2019-5-16 19:17
BD的企业版在国内很少见吧，感觉BD不重视中国市场

很明显，他们程序右键托盘里面可以直接切换语言，但没有中文

boyjoo

你去看各家评测，赛门如何，你就知道这个榜是钱砸的，纯商业化，其实是砸钱多少的排行，跟巨公司聊得知的，希望Lz你懂。

Jerry.Lin

漏看了，现在才看到

grantzoo

感觉企业版本的杀毒都比较保守，BD的企业版比个人版还激进啊

来搞个基

grantzoo 发表于 2019-5-18 16:00
感觉企业版本的杀毒都比较保守，BD的企业版比个人版还激进啊

保守是必须的。。。毕竟企业环境。。。不能出大问题

KLGOD

感谢分享 BD企业ui真的好看

血樱

我只注意到了你的win10壁纸居然是浅蓝的！感觉比深蓝的好看

果团团

血樱 发表于 2019-6-27 20:44
我只注意到了你的win10壁纸居然是浅蓝的！感觉比深蓝的好看

这是1903的浅色主题，我现在也用这个觉得超好看呢