ESET勒索防御测试

a27573

官方还推荐过测试方法吗？

还有，“云端鉴定威胁指数”是要有EDTD才能看吗？

B100D1E55

a27573 发表于 2021-7-18 11:11
官方还推荐过测试方法吗？

还有，“云端鉴定威胁指数”是要有EDTD才能看吗？

官方曾经提醒过要打开实时文件防护，但实测影响可以忽略不计

威胁鉴定指数的确是动态威胁防御才能看到，他们最近稍微改进了一下，云端检出的秒速扩散到全网拉黑

Virus4

B100D1E55 发表于 2021-7-18 11:17
官方曾经提醒过要打开实时文件防护，但实测影响可以忽略不计

威胁鉴定指数的确是动态威胁防御才能看到 ...

所以这个具体测试是咋操作的，做一个他们库里没有的样本然后用自带的工具上传一下刷新LiveGrid的记录，然后在云端拉黑之前测嘛，还是其他的管道上传。

LSPD

B大辛苦啦
在真实世界中LiveGrid的反应速度是如何的，传播范围较小的样本LiveGrid会有信誉判定吗
测毒的时候也会遇到样本信誉良好/一般的情况，正常软件信誉判为恶意的情况
感觉不能太依赖信誉检测

B100D1E55

Virus4 发表于 2021-7-18 11:23
所以这个具体测试是咋操作的，做一个他们库里没有的样本然后用自带的工具上传一下刷新LiveGrid的记录，然 ...

可以用已有的样本，但是要改hash让livegrid记录清零，然后等待livegrid生成新的信誉评级（我是直接传云沙盘了）。最后确保测试系统联网，运行前确保livegrid读取正确信誉

但是这个测试也有局限性。如果是dropper，因为drop的文件hash不变，勒索护盾可能也不会工作。对于简单的非dropper样本来说这个测试方法应该是最妥当的

ELOHIM

认真看了一下，意思是讲：官方造的兵器，怎么用还是要依照官方的方式来，1 2 3 。。
不能 3 1 2 ，也不能 1 3 这样，是吗？

那么问题来了，真实世界里面，
这样一个勒索文件是怎样突破路由、网关、防火墙进入到终端系统的硬盘上面去的呢？
B大辛苦了。。又拿技术勋章，可喜可贺！

B100D1E55

LSPD 发表于 2021-7-18 11:38
B大辛苦啦
在真实世界中LiveGrid的反应速度是如何的，传播范围较小的样本LiveGrid会有信誉判定吗
...

如果一个新文件只出现在一台客户端上，LiveGrid信誉是很慢的。我之前试过等了1个小时都没反应（已经右键上报）。这点卡巴做的比较好，他们信誉入库是秒出

对的ESET这方面检出看来非常依赖信誉，信誉挂了可能就凉凉

B100D1E55

ELOHIM 发表于 2021-7-18 11:59
认真看了一下，意思是讲：官方造的兵器，怎么用还是要依照官方的方式来，1 2 3 。。
不能 3 1 2 ，也不能  ...

其中一种可能性是通过恶意邮件群发，用户下载附件执行（这种过垃圾邮件分拣和附件扫描就行）。
本地上假设是全新的威胁，多个用户端点侦测到同一个样本应该会在云内部提高处理优先级，信誉出来后可以结合HIPS查杀（信誉比沙箱快），这算是第一批潜在受害者的防范措施。HIPS如果触发则会发遥测信息到云端加快拉黑进度……如果云端沙箱判黑则全网拉黑，这是第二批潜在受害者防范措施。最后机器自动入库混淆器，这是第三批潜在受害者防范措施。最后的最后人工入库payload，实现内存查杀。

静影沉璧

如此说来，ESET的勒索防御效果还是比较有限？

毒区双击的勒索也不少，E家的勒索防护就报过一次。。。可能也在情理之中吧

B100D1E55

静影沉璧 发表于 2021-7-18 15:04
如此说来，ESET的勒索防御效果还是比较有限？

毒区双击的勒索也不少，E家的勒索防护就报过一次。。。可 ...

勒索不经常报是因为已经被入库/文件不新。就如同我主楼说的，入库且时间久的文件勒索防御就故意不杀了。这篇文章额外测试证明了测试条件正确的话检测率还是相当高的