恶意程序图标的那些事

B100D1E55

智量官方 发表于 2019-5-7 08:48
很有意思的测试.

但是图标作为一个无法与恶意程序功能发生实际关联的向量，在智量的判定中权重相当低的, ...

我相信图标的权重是很低的，因此测试中对毒进行了灭活。测试样本其恶意函数大部分还在（例如联网key交换、释放勒索信等指令都在，但是实际只调用了勒索信释放，没有任何已有文件改动行为）。加密部分我把AES相关的几个syscall给去了但是文件遍历loop还在，非常典型的拓展名字符串组也还留着（明文）。这样保留了一些极为典型的勒索特征。之所以这么做的原因是因为VT上很多检测只给黑白两种结果，当时的出发点是想把PE改得暧昧一点让图标的变更成为跨过判毒阈值的唯一因素。实操情况来看的确有一些厂商因为图标的改变使得判毒置信度甚至是黑白结论发生了改变。
当然这种测试方法非常的符合人的常识却不一定符合实际那些厂商的检测原理……

测试中4个PE的代码都是一模一样（全都是灭活的ransom，都在我自己的沙盘跑过行为完全一致），只有图标资源不一样。基本而言跑动态的检出结果自始至终都一致（比如微软、ESET、火绒、卡巴等），静态的几家就变来变去了，比如Avast还有其他一系列静态引擎。

最早是因为看了去年Endgame那篇用RL进行检测模型逃逸的论文，当然那个算baby example。但如果仅对图标资源进行修改就能变更置信度的话，变更这类对实际功能无关痛痒的PE项目估计生成的PE能跑起来的难度不会太大，我猜的

智量官方

B100D1E55 发表于 2019-5-7 09:14
我相信图标的权重是很低的，因此测试中对毒进行了灭活。测试样本其恶意函数大部分还在（例如联网key交换 ...

我说的就是那个论文，实操能运行起来的大概10%，但是如果不对那么多的特征修改，又很难绕过。本身强化学习没什么难度，难度是调整什么特征，怎么调整。所以这块的方向是继续使用RL训练出调整梯度，要能稳定使用需要有两个模型. 至于图标，因为本来就不重要，所以我们之前也没重视，也许以后要花点时间看看

B100D1E55

智量官方 发表于 2019-5-7 09:39
我说的就是那个论文，实操能运行起来的大概10%，但是如果不对那么多的特征修改，又很难绕过。本身强化学 ...

嗯，之所以进行“灭活”就是因为第一次尝试的时候发现检出基本没什么变化，后来才想到这个损招。实操的时候肯定需要改更多东西，改废的几率也会高很多。

对于走动态的那些，只要想法子让他们sandbox跑不动就行，思路更清晰
话说回来PE那些meta field比重也不大吧？（就是什么公司名版本号之类的字符串）

智量官方

B100D1E55 发表于 2019-5-7 09:46
嗯，之所以进行“灭活”就是因为第一次尝试的时候发现检出基本没什么变化，后来才想到这个损招。实操的时 ...

公司名称，版本号比图标有用多了

Sandbox不明白你说是cuckoo sandbox这种全虚拟机还是cpu虚拟机. 不管哪种都很容易绕过, 可能VT虚拟机稍难绕过一点，毕竟没有agent在虚拟机中. 容易被绕过不是沙箱的首要问题，主要是性能问题，成本太高. 业内很多厂商都积压了大量文件待分析.

B100D1E55

智量官方 发表于 2019-5-7 09:59
公司名称，版本号比图标有用多了

Sandbox不明白你说是cuckoo sandbox这种全虚拟机还是cpu虚拟机 ...

对哦，你这么一说记起来之前看过invincea 15年那篇貌似meta单独分拣效果相当出众。我之所以提到这个是因为就前两天翻BD几年前的一篇报告说不少恶意程序开始偷正常软件的meta field所以觉得这个可能不是很靠谱（不过如果能鉴别出是偷的话反而能提高检测率大概）。写这篇的时候本来准备了另一个实验是对比meta field和图标是否匹配对报毒率的影响，不过效果不是很明显，等有更好的折腾方法再说了……

你说的VT虚拟机是那种hypervisor类的么（就VMRay那种的？）。CPU仿真我觉得各家厂商基本就是弃疗状态，遇到针对性样本再封杀。至于真虚拟机自动沙盒，除了鉴定速度问题外写的好的定时炸弹或者条件触发也都跑不出来，试了几个企业版都好不到哪去，到头来还是得靠主防和EDR了……

智量官方

B100D1E55 发表于 2019-5-7 10:21
对哦，你这么一说记起来之前看过invincea 15年那篇貌似meta单独分拣效果相当出众。我之所以提到这个是因 ...

VT虚拟机就是利用intel vt的所谓无缝监视，agentless之类的虚拟机。隐蔽性确实要比cuckoo sandbox之类的要强不少。现在确实很难有一项技术银弹，安全一定是多种技术结合才能实现.

Jerry.Lin

智量官方 发表于 2019-5-7 09:39
我说的就是那个论文，实操能运行起来的大概10%，但是如果不对那么多的特征修改，又很难绕过。本身强化学 ...

想到另外一个问题

智量云端主要也是靠多引擎吧？有几次遇到卡巴ransom报法误报智量也跟着报Trojan.Ransom.Generic；
貌似很多新兴厂商都是靠大厂结果去lab样本，train模型；

那么试问下偷大厂的鉴定结果，用这种方式去练机学，效果真的会很好么（效果是指包括侦测率+误报率）？训练用的样本质量参差不齐会对模型产生多大的影响？如果不用传统厂商的引擎去lab样本，你们机学模型是不是就搞不下去了呢？


观察VT挺久了，有独立鉴定能力的，从不抄的，不超过一手之数; 那些什么靠下一代AV, AI模型之类的厂商，估计用来训练的样本的来源绝大部分都是用卡巴，ESET这两个厂商去挑拣。这么一想，好像这行业前途一片黑暗，可以假象下，这两个vendor突然没了整个行业不就崩了？

智量官方

191196846 发表于 2019-5-7 10:55
想到另外一个问题

智量云端主要也是靠多引擎吧？有几次遇到卡巴ransom报法误报智量也跟着报Trojan.Ran ...

智量后台判定不主要依赖多引擎的。但是我们的很多工作中肯定会参照其它厂商的结果，我相信其它安全公司也会.
不知道你知道imagenet这个项目吗？VT就很像安全圈里的imagenet, 使很多厂商不用再去重新标注样本，做已经做过的工作，这对整个网络安全生态圈的帮助很大。至于用标注好的情况会不会影响侦测率和误报率，那肯定有影响啊，毕竟肯定有少数标注是错误的。但是和重新标注的成本比较起来，孰轻孰重就很明显了。就像现在很多人工智能公司，不是每个人工智能公司都自己有一个数据标注部门的，很多都是外包或者购买的数据集，这并不妨碍公司在其它方面创新.

如果卡巴和ESET倒了，行业就倒了，那肯定不是，Windows倒了行业都不会倒, 行业的存在与否决定于终端安全问题是否还存在。而安全问题是事物复杂性的副作用，熵是很难从大到小的。所以可知安全行业，说细点终端安全行业会一直存在。发挥一下这个问题其实很类似于如果除了卡巴，和ESET其它终端厂商全倒了，是不是行业照样运转？我相信卡饭很多人都会回答会，在卡饭这么久很多人对卡巴的狂热我算是领教到了。但是我相信安全行业的多样性是一定需要的, 比如AI最强的是应对新威胁的能力，我说的新是以秒级为单位的, 现在很多厂商的云拉黑确实很快，但是还是比不上AI的零时差。我不会告诉你现在某大厂对emotet的新变种反应都是以小时为单位的。另外一个就是现在的很多高级攻击都是会先过掉一些很出名的大厂,
所以这个时候有其它的安全方案补充就最好了.

shenhaiyu0615

观察的真细致，更重要的是思路

某fd

楼主这个想法很不错，学习