12
返回列表 发新帖
楼主: MKLI
收起左侧

[讨论] 关于未知威胁

[复制链接]
欧阳宣
头像被屏蔽
发表于 2020-12-25 15:11:37 | 显示全部楼层
样本区测双击的人我觉得挺多的
MKLI
 楼主| 发表于 2020-12-25 23:51:27 | 显示全部楼层
欧阳宣 发表于 2020-12-25 15:11
样本区测双击的人我觉得挺多的

我也天天逛,多数还是测扫描,扫描不到就上报
B100D1E55
发表于 2020-12-27 01:40:43 | 显示全部楼层
取决于“未知威胁”这个概念怎么定义

如果指的是全新的威胁(比如黑客从零开始写了一个新毒),那我很负责任地告诉你eset本地端是没有查杀能力的。早年引擎更新前还有类似NewHeur之类的报毒,后来基本移除掉了。毒区那种个人制作、广度极低的样本eset基本不可能报毒,除非用了什么已知的混淆器或者库。这种只能上报,就算上报处理速度也很慢。他们内部有一套系统自动划分上报样本处理的优先级,毒区那种的基本都在队列末尾

如果指的是已知威胁的变种,eset是有防护能力的。总体来说eset强就强在识别已知威胁和已知威胁的变种,检测鲁棒性很高。对于这类威胁,如果扫描引擎被绕过,livegrid会快速响应。如果响应来不及,客户端的内存扫描器会进一步检测是否在内存中释放已知威胁。如果内存扫描器也绕过了,还有深度行为检测来匹配程序行为是否类似于流行家族(Emotet之类的),如果行为检测绕过了,最后还有botnet防护阻断一些恶意连接行为。随着防护层级的递进,检测力度越发集中于对流行家族变种的查杀上

当然最后一种类型就是假如纯未知威胁用了已知的壳/混淆器(比如盗版vm壳,noobyprotect,blackmoon等等),eset也能查杀这类未知威胁。设置里检测可疑程序就是干这个用的。近期深度行为检测甚至加入了常见壳的行为检测。但这里就是纯粹杀壳了,如果把壳去掉是不会查杀的,只能是人工入库

评分

参与人数 1人气 +3 收起 理由
zwl2828 + 3 感谢解答: )

查看全部评分

MKLI
 楼主| 发表于 2020-12-27 02:15:07 | 显示全部楼层
B100D1E55 发表于 2020-12-27 01:40
取决于“未知威胁”这个概念怎么定义

如果指的是全新的威胁(比如黑客从零开始写了一个新毒),那我很负 ...

感谢解答,看来未知威胁查杀还是有些费劲(新病毒),就算是卡巴也有不识别不查杀的病毒,未知威胁就是没法防了?
B100D1E55
发表于 2020-12-27 03:07:56 | 显示全部楼层
本帖最后由 B100D1E55 于 2020-12-27 03:15 编辑
MKLI 发表于 2020-12-27 02:15
感谢解答,看来未知威胁查杀还是有些费劲(新病毒),就算是卡巴也有不识别不查杀的病毒,未知威胁就是没 ...

对普通消费用户来说基本是这么回事,在这种场景下误报控制比多检测几个新威胁重要得多。面对新威胁大体上还是病毒实验室通过遥测--发现新威胁--分析--入库这种流程来响应,因此第一批中招的往往比较惨(概率上也非常小就是了)。
企业级产品往往加入了遥测(EDR)之类的功能加快发现未知威胁的速度,并加入一些特定的APT阻断功能(例如阻断可疑powershell执行语句等等)。这类功能往往会带来大量警告和误报而需要有经验的IT人员进行分析和排除,因此很难在消费级产品上推广。

有一些消费级产品可能也会有一些异常监测,这种确可以一定程度上防范未知威胁但是相应的误报风险也大不少。这类往往需要信誉云的辅助,但是一旦一些程序落在信誉云的死角上误报还是会出现
MKLI
 楼主| 发表于 2020-12-27 08:25:07 | 显示全部楼层
看来现在的技术没办法做到精准击杀,误报确实很头疼
MKLI
 楼主| 发表于 2020-12-27 08:28:56 | 显示全部楼层
我ESET搭配了NOVIRUS THANKS,应该可以拦截掉一些可疑进程了

而且现在它每天都会拦截一些进程

Date/Time: 2020/12/26 11:24:42
Process: [6092]C:\Windows\SysWOW64\icacls.exe
Process MD5 Hash: 2E49585E4E08565F52090B144062F97E
Parent: [8800]C:\Windows\SysWOW64\cmd.exe
Rule: BlockCaclsIcaclsExecution
Rule Name: Block execution of cacls\icacls\xcacls.exe
Command Line: icacls.exe  C:\WINDOWS\Web /restore 07F3976E-47D9-4138-A1AD-834BBEA451CE
Signer:
Parent Signer:
User/Domain: SYSTEM/NT AUTHORITY
System File: True
Parent System File: True
Integrity Level: System
Parent Integrity Level: System


Date/Time: 2020/12/26 11:24:42
Process: [7664]C:\Windows\SysWOW64\icacls.exe
Process MD5 Hash: 2E49585E4E08565F52090B144062F97E
Parent: [8800]C:\Windows\SysWOW64\cmd.exe
Rule: BlockCaclsIcaclsExecution
Rule Name: Block execution of cacls\icacls\xcacls.exe
Command Line: icacls.exe  C:\WINDOWS\Web\Screen /setowner "NT SERVICE\TrustedInstaller" /T
Signer:
Parent Signer:
User/Domain: SYSTEM/NT AUTHORITY
System File: True
Parent System File: True
Integrity Level: System
Parent Integrity Level: System


Date/Time: 2020/12/26 11:24:42
Process: [2624]C:\Windows\SysWOW64\icacls.exe
Process MD5 Hash: 2E49585E4E08565F52090B144062F97E
Parent: [11736]C:\Windows\SysWOW64\cmd.exe
Rule: BlockCaclsIcaclsExecution
Rule Name: Block execution of cacls\icacls\xcacls.exe
Command Line: icacls.exe  C:\WINDOWS\Web\Screen /grant SYSTEM:F /T
Signer:
Parent Signer:
User/Domain: SYSTEM/NT AUTHORITY
System File: True
Parent System File: True
Integrity Level: System
Parent Integrity Level: System


Date/Time: 2020/12/26 11:24:42
Process: [3832]C:\Windows\SysWOW64\icacls.exe
Process MD5 Hash: 2E49585E4E08565F52090B144062F97E
Parent: [11736]C:\Windows\SysWOW64\cmd.exe
Rule: BlockCaclsIcaclsExecution
Rule Name: Block execution of cacls\icacls\xcacls.exe
Command Line: icacls.exe  C:\WINDOWS\Web\Screen /save 07F3976E-47D9-4138-A1AD-834BBEA451CE /T
Signer:
Parent Signer:
User/Domain: SYSTEM/NT AUTHORITY
System File: True
Parent System File: True
Integrity Level: System
Parent Integrity Level: System



欧阳宣
头像被屏蔽
发表于 2020-12-30 04:01:26 | 显示全部楼层
还有一个视角可能很少有人想到 就是放在杀软厂商的角度

你说的那种纯新毒 全网下载量不到100的 危害放在整个总样本池来比较确实是非常小的 所以也不会有哪个厂家会非常重视 这一点不光eset,其他厂家也绝对会按传播量和危害来划分。那现在你要揪着这一个样本说eset对未知威胁响应不够 我觉得是没有道理的

还有一点是你口中的可疑进程 这个可疑是根据什么来划分的呢?你能担保你对你电脑里每一个进程都足够了解么?就拿你提到的这个icacls.exe来说 它是一个系统自带进程,但是也确实会被利用来做一些和提权相关的操作。

https://strontic.github.io/xcycl ... 2085800BF642BC.html

icacls.exe  C:\WINDOWS\Web\Screen /save 07F3976E-47D9-4138-A1AD-834BBEA451CE /T
这个命令你最好是在知道发生了什么事的情况下才去拦截 否则现在看到弹窗是很爽啦 但是别某天误拦截了
MKLI
 楼主| 发表于 2020-12-30 08:59:41 | 显示全部楼层
欧阳宣 发表于 2020-12-30 04:01
还有一个视角可能很少有人想到 就是放在杀软厂商的角度

你说的那种纯新毒 全网下载量不到100的 危害放在 ...

学到了,感谢解答
a8855942
发表于 2021-1-12 22:32:15 | 显示全部楼层
这个不确定因素太大了。不好说。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 20:42 , Processed in 0.086113 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表