ESET勒索防御测试

显示全部楼层 · 发表于 2021-7-19 07:14:43

本帖最后由 B100D1E55 于 2021-7-19 07:22 编辑

InnoriaAlter 发表于 2021-7-17 14:46
啊好东西~~先插眼

话说试一下自制勒索的或者java系等等小众的勒索看看？

个人观察是行为不大合格的勒索查杀率不高，比如直接删文件、直接重命名那种……这里我把它排除在真正的勒索之外

我猜测光检测批量删除/重命名误报风险太大。对于前者，随便一个程序比如Uplay，启动的时候都会批量删除一些文件。可以想象如果Uplay更新后信誉库无记录的情况下检测到my document部分文件被删除，这时候简单隔离可就出问题了……对于后者，用户自己重命名文件的操作也很常见，比如遇到小众的批量重命名小工具怎么办？所以要结合其他行为特征综合判断。真是只有删除、重命名的话文件恢复也很简单。

显示全部楼层 · 发表于 2021-7-19 08:50:07

本帖最后由 InnoriaAlter 于 2021-7-24 08:35 编辑

B100D1E55 发表于 2021-7-19 07:14
个人观察是行为不大合格的勒索查杀率不高，比如直接删文件、直接重命名那种……这里我把它排除在真正的勒 ...

嗯嗯...原来如此啊~

想到上半年有位大佬整了个自制勒索测验，然后eset毫无意外的哑火了，然后又遇上某人一阵挑刺...

显示全部楼层 · 发表于 2021-7-19 09:58:08

本帖最后由 B100D1E55 于 2021-7-19 10:20 编辑

InnoriaAlter 发表于 2021-7-19 08:50
嗯嗯...原来如此啊~
想到上半年有位大佬整了个自制勒索测验，按照他说的，勒索用java写，动作很 ...

主要还是看现实世界真实威胁的应对效果。我个人觉得ESET这套可能是扮猪吃虎，故意让人觉得防御弱鸡，实际真要传播起来防御率应该还是可以的。
但是过分依赖信誉云的确是个问题，我觉得这里面有漏洞可钻……java之类的我以后有空测测看

显示全部楼层 · 发表于 2021-7-19 10:23:02

B100D1E55 发表于 2021-7-19 09:58
主要还是看现实世界真实威胁的应对效果。我个人觉得ESET这套可能是扮猪吃虎，故意让人觉得防御弱鸡，实际 ...

噢噢，意思是勒索测试还有续集是吗~那我期待一下
谢谢大佬解惑

显示全部楼层 · 发表于 2021-7-19 19:06:55

有考慮測ESET的機學引擎嗎

显示全部楼层 · 发表于 2021-7-21 06:27:36

InnoriaAlter 发表于 2021-7-19 10:23
噢噢，意思是勒索测试还有续集是吗~那我期待一下
谢谢大佬解惑

不一定有时间搞，不要过于期待哦

显示全部楼层 · 发表于 2021-7-21 06:31:00

StevenCheong55 发表于 2021-7-19 19:06
有考慮測ESET的機學引擎嗎

ESET机学测试被我归类在“很想测试但是条件还不成熟”的类别内，主要因为构造样本比较麻烦又可能有玄学成分。按照优先级排列下一个应该是测试DBI或者勒索防御第二集，不过不保证有时间做

显示全部楼层 · 发表于 2021-7-21 09:46:19

B100D1E55 发表于 2021-7-21 06:27
不一定有时间搞，不要过于期待哦

昨晚样本有一个自制样本eset翻车了噢...

...下次可能需要试着测小众病毒一类的防御效果了

今年以内更新应该可以吧？

显示全部楼层 · 发表于 2021-7-21 09:58:42

InnoriaAlter 发表于 2021-7-21 09:46
昨晚样本有一个自制样本eset翻车了噢......下次可能需要试着测小众病毒一类的防御效果了
...

你是说这个？ https://bbs.kafan.cn/thread-2212933-1-1.html

这个的话见74楼

填坑时间不保证，主要看工作忙不忙

显示全部楼层 · 发表于 2021-7-21 11:50:21

B100D1E55 发表于 2021-7-21 06:31
ESET机学测试被我归类在“很想测试但是条件还不成熟”的类别内，主要因为构造样本比较麻烦又可能有玄学成 ...

真的摸不清Angur的报毒机制，而且为什么勒索防御，DBI不反应，应该两者都要起作用才对

[分享] ESET勒索防御测试

评分