查看: 9788|回复: 28
收起左侧

[技术原创] 杀软对低流行性 Linux 间谍软件的响应速度

  [复制链接]
85683213
发表于 2022-1-23 20:56:51 | 显示全部楼层 |阅读模式
本帖最后由 85683213 于 2022-3-30 19:57 编辑

这是我在 Linux 服务器上发现的样本,稍微逆向确认恶意后 2021/12/13 在样本区分享

2021-12-13 18:37 由 @xiaobao233 上传 VirusTotal,此时没有任何杀软判定为恶意,静态与动态分析也无恶意迹象

因为帖子加了权限,而且样本仅分享一天,所以很少人下载也几乎没有人手动上报,利于后续观察响应速度

当时将 VirusTotal 的结果纪录于 6 楼

2021-12-13 21:25:43 瑞星第一个入库 Stealer.Agent!1.DB0C (CLASSIC),猜测是官人在卡饭下载了样本
2021-12-13 23:41:09 两小时内 McAfee-GW-Edition 利用 VirusTotal 唯一的数据自动入库 Artemis!Trojan
2021-12-16 13:35:53 三天后 Kaspersky 入库 HEUR:Trojan.Linux.Agent.kp
2021-12-16 19:07:25 几小时后 Lionic 收到来自 Kaspersky 的库 Trojan.Linux.Agent.4!c
2021-12-18 15:57:03 Avast 和 AVG 入库 Other:Malware-gen [Trj];
                                  Microsoft 入库 Program:Win32/Uwamson.A!ml,
                                  我怀疑两家公司都没有实际进行人工分类,甚至有互抄的嫌疑
2021-12-18 22:09:34 几小时候 TrendMicro-HouseCall 入库 Trojan.Linux.UWAMSON.USELVLI21
2021-12-19 05:07:24 再过几小时 TrendMicro 入库 Trojan.Linux.UWAMSON.USELVLI21
                                  很明显趋势科技抄 Microsoft 的结果,不过还好有将 Win32 改成 Linux
2021-12-19 12:59:00 Microsoft 变更了分类名称 Trojan:Script/Sabsik.FL.B!ml,但是很显然是错的
2021-12-19 19:03:44 Fortinet 入库 PossibleThreat ,可能依照 VirusTotal 的结果;
                                  Microsoft 变回 Program:Win32/Uwamson.A!ml
2021-12-19 23:37:35 Microsoft 再次变更分类名称 Trojan:Win32/Mirai!ml
2021-12-20 11:29:08 江民入库 Trojan.Linux.bte;
                                  CAT-QuickHeal 入库 Elf.Trojan.A3832092
                                  这两个时间点和名称比较特别,看不出与别人的关联
2021-12-21 11:12:36 BitDefender 入库 Trojan.Linux.Agent.JHA
                                  Ad-Aware、Emsisoft、eScan、FireEye 、GData 使用 BitDefender 病毒库,他们也侦测到了
                                  MAX 入库 Malware (ai Score=85),猜测 BitDefender 占了比较大的权重
2021-12-21 18:38:06 几小时后 BitDefender 下游 Arcabit 入库 Trojan.Linux.Agent.JHA;
                                  真巧,Symantec 也入库了 Trojan.Gen.NPE
2021-12-22 11:24:40 在几个小时后 ALYac 和 Ikarus 入库 Trojan.Linux.Agent,虽然有点延迟,但仍猜是 BD 系的杀软
2021-12-23 19:50:30 Microsoft 又修改了一次分类 Backdoor:Linux/Multiverze,这次终于比较接近了
2021-12-25 10:53:31 Microsoft 再次修改分类 Trojan:Linux/Multiverze
2021-12-28 11:37:43 Microsoft 又改了一次 Trojan:Win32/Mirai!ml;
                                  F-Secure 入库 Malware.LINUX/Agent.qlzmu,看起来是用 Avira 的库
2021-12-28 19:37:28 Avira (no cloud) 入库 LINUX/Agent.qlzmu,本地比云端慢一些
2021-12-29 11:16:01 Cynet 入库 Malicious (score: 99),Avira 显然成了最后一根稻草
2022-01-11 16:27:52 接近一个月后 ESET-NOD32 入库 A Variant Of Linux/Spy.Agent.AN;
                                 
后续再查看,
Microsoft 仍然不断变换,Trend Micro 和 McAfee 无动于衷;
瑞星将此项目云端化 Stealer.Agent!1.DB0C (CLOUD);
(漏看) Sangfor Engine Zero 入库 Trojan.Linux.Agent.kp ,报毒名称接近 Kaspersky;
(漏看) Zillya 入库 Trojan.Agent.Linux.4787,报毒时程接近 Avira;
(漏看) F-Secure 加白(?

响应速度(瑞星除外) (半)人工分析未知作弊
Kaspersky3天
Avast5天
Microsoft5天
Trend Micro6天
Fortinet6天
江民7天
CAT-QuickHeal7天
BitDefender8天
Symantec8天
Avira15天
ESET29天


微软谜之机器学习:
Program:Win32/Uwamson.A!ml、Trojan:Script/Sabsik.FL.B!ml、Trojan:Win32/Mirai!ml、Backdoor:Linux/Multiverze、Trojan:Linux/Multiverze

BitDefender 相关杀软:
Ad-Aware、Emsisoft、eScan、FireEye 、GData、Arcabit、Ikarus、(MAX)、(Symantec)

Avira 相关杀软:
F-Secure、(Zillya)、(Cynet)

Microsoft 相关杀软:
<TrendMicro>、(Fortinet)、(江民)、(CAT-QuickHeal)

Kaspersky 相关杀软:
Lionic、(Sangfor Engine Zero)

VirusTotal 相关杀软:
McAfee-GW-Edition

后话:
趋势科技是世界前几大的资讯安全公司,竟然毫不掩饰直接抄别人的扫描结果,让我感到非常难过,但同时也觉得好笑。因为他们竟然不用 Kaspersky 或 ESET 这些有品质的数据,反而去抄 Microsoft 这种误报严重又没有严谨分类的数据,他们知道他们抄的报毒名只出现过一天就没再出现了吗?另一个让我比较难过的是我现在正在使用的 ESET,我其实有透过 EIS 匿名上报,内容还写的比较完整,但是他们还是用了接近一个月来入库。其实这已经侧面反映了 AV-Comparatives 的结果,但我认为他们还是应该透过一些自动分析技术辅助人工加速入库,避免样本堆积过多。

评分

参与人数 9分享 +3 魅力 +1 人气 +25 收起 理由
yy688go + 1 用心了,赞一个
a8855942 + 3
HEMM + 3 更讨厌WD的BUG和烂优化
dg1vg4 + 3 版区有你更精彩: )
KevinYu0504 + 3 版区有你更精彩: )

查看全部评分

救命稻草
发表于 2022-1-23 21:23:00 | 显示全部楼层
本帖最后由 救命稻草 于 2022-1-23 21:31 编辑

看来你第一次上传是0,那就不是前面入库的了。
846472713
发表于 2022-1-23 21:26:08 | 显示全部楼层
楼主有心了,还有这么细致认真的
wajika
发表于 2022-1-24 09:06:35 | 显示全部楼层
瑞星云反应速度处理国外的样本其实很快,不算作弊的情况下
kuroandsan
发表于 2022-1-24 10:20:13 | 显示全部楼层
辛苦测试。
小a感觉上不怎么分类,样本区逛一圈全是malware-gen
正在缓冲
头像被屏蔽
发表于 2022-1-24 11:00:20 | 显示全部楼层
kuroandsan 发表于 2022-1-24 10:20
辛苦测试。
小a感觉上不怎么分类,样本区逛一圈全是malware-gen

病毒、木马、勒索、KillMBR、蠕虫、广告等可以入库的都算恶意软件,Malware-gen可以用在所有样本上
LSPD
发表于 2022-1-24 12:26:25 | 显示全部楼层
微软:我先入库了再说,管他是什么毒
Miostartos
发表于 2022-1-24 16:49:53 | 显示全部楼层
本帖最后由 Miostartos 于 2022-1-24 16:59 编辑

avast和AVG是同库,因为是一家公司(Norton收购了收购了AVG和bullguard的avast和avira,但bullguard/Norton/avast(avg)/avira尚且分开运作,avast和avg则是完全整合了,原Symantec企业版部分卖给了博通,目前Symantec和Norton还是同技术),反正他家报毒名敷衍的要死全是各种gen
FS主引擎就是OEM Avira的,报毒肯定一样
ALYac以前的个人版杀毒软件确实是OEM BD的,这家是韩国的,曾经有免费个人版图标是个胶囊(现在点进企业版官网还有个胶囊)  ,企业版不清楚
Ikarus没记错的话已经被fireeye收购了,但目前还是自己的引擎
咖啡只要报了 Artemis!XXXXXXX 就不会改了,这是月神的拉黑,当然体现到客户端不一定这么报,有可能报JTI或者GTI什么的
Lionic是台湾的一家新信安企业,不过看报毒也是VT一大抄
Zillya是乌克兰的,就检测率来说应该也是照抄大王
hipoxiaxxx
发表于 2022-1-24 18:52:23 | 显示全部楼层
本帖最后由 hipoxiaxxx 于 2022-1-24 18:57 编辑
Miostartos 发表于 2022-1-24 16:49
avast和AVG是同库,因为是一家公司(Norton收购了收购了AVG和bullguard的avast和avira,但bullguard/Norton ...

lkarus没有被收购

Symphony把迈克菲企业业务和FireEye收购了

ALYac用的自己的Tera引擎和Bitdefender 引擎
Miostartos
发表于 2022-1-24 18:57:07 | 显示全部楼层
hipoxiaxxx 发表于 2022-1-24 18:52
lkarus没有被收购

Symphony把迈克菲企业业务和FireEye收购了

那就是lkarus代{过}{滤}理了fireeye的东西
反正这俩是有关联的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-6-14 23:31 , Processed in 0.134731 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表