123
返回列表 发新帖
楼主: CreatorHusky
收起左侧

[讨论] 又是他,绕过360与卡巴加驱并强制终止进程

[复制链接]
kakenhi
发表于 2022-4-22 00:54:02 | 显示全部楼层
tdsskiller 发表于 2022-4-19 11:39
谁也顶不住你用0day连招啊n卡大厂都能被掳走那么多数据

老外特别是欧美国家搞apt那一套我还是比较认可的,主要重点有两个,1是挖坑,2是审计。
挖坑基于对apt攻击手法的全面了解,并使用各种技术手段让apt跳坑里,触发警报。
审计就是当apt触发警报以后,通过关联性排查弄清楚他们啥时候进来的,做了些什么。
全部搞明白以后,一瞬间连根拔起,彻底排除。当然会有漏网之鱼,但这一套策略总体来说是行之有效的,能搞定大部分apt组织,就算是漏网之鱼,也很难长久生存。

国内,我就明说了吧就是360。他们的防御依赖于进程信任链。该体系有一个基础:可疑进程的子进程一定是可疑进程。为什么360禁止自启动,禁止创建远程线程,禁止向系统进程发送某些类型的消息?这一切都是为了保证刚才说的这个基础不被打破。靠这套体系,他们能对可疑进程设置非常严格的行为规则,并有效抑制误报,该体系运用于个人防御无疑是非常优秀的。但在企业环境,进程信任链就只能算刚才说的"挖坑"中的一环,过于依赖该体系会导致一个问题:可疑进程一旦洗白,就为所欲为了。更何况有些攻击手法入口就是可信进程。apt既然叫高持续性威胁,必然会有一般人想不到的一面。之前提到的东西并不是欧美的专利,即使是第三世界国家的apt组织,也在日常在研究、维护、使用那些东西。国内的攻防演习处于成本、风险上的考虑,并不能完全模拟以上威胁。

我跳槽做国内方向有1年多了,360目前给我的一个初步印象就是比较执着于"阳谋"。即保证自己的防御技术在对手知晓原理的情况下,也难以绕过。这可能是他们做个人安全十余年,持续与国内数亿网民对抗养成的习惯。但也正是这个习惯让他们不喜欢花技术成本去研究属于"阴谋"的防御手段。他们会认为这种手段一旦被对手知晓,就存在较大的被绕过的风险。而欧美安全公司对此的认知是只要坑多就行,最后你总会踩到一个。

我个人觉得,后面一种思路才真正适合企业领域。


评分

参与人数 2人气 +4 收起 理由
yexo + 1 版区有你更精彩: )
tdsskiller + 3 感谢解答: )

查看全部评分

CreatorHusky
 楼主| 发表于 2022-4-22 14:19:39 | 显示全部楼层
本帖最后由 CreatorHusky 于 2022-4-22 14:21 编辑
kakenhi 发表于 2022-4-22 00:54
老外特别是欧美国家搞apt那一套我还是比较认可的,主要重点有两个,1是挖坑,2是审计。
挖坑基于对apt攻 ...

https://360.net/product-center/the-others/miguan

https://360.net/safe-operations- ... rvices/log-checking





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kakenhi
发表于 2022-4-23 01:43:08 | 显示全部楼层
CreatorHusky 发表于 2022-4-22 14:19
https://360.net/product-center/the-others/miguan

https://360.net/safe-operations-and-services/s ...

emmm其实你仔细看我刚才说的,我是在讲主机端防御。你说的这两个是mi-guan和网络流量审计。这两类产品好像国内有很多家在做,但我不是甲方对这个方向不太了解,不方便评论。

我的意思是就主机端防御来说,360的思路只适合个人,不适合企业。主机端防御欧美的产品我举两个例子吧:猎鹰,WDATP。前者算标杆,后者审计还不错但坑太少不容易踩到。卡巴则是反过来,坑多但思路还是老一代的,审计做得不行。360EDR国内比较少没遇到过,但他们的宣传资料我看了,感觉还是没有摆脱我之前说的问题。

00006666
发表于 2022-4-23 13:36:08 | 显示全部楼层
kakenhi 发表于 2022-4-22 00:54
老外特别是欧美国家搞apt那一套我还是比较认可的,主要重点有两个,1是挖坑,2是审计。
挖坑基于对apt攻 ...

360这种进程信任链体系感觉也只能适用360,因为这个体系的前提是必须得先有一套足够大的白名单,不然会造成巨量的误报。
Rommel116
发表于 2022-4-27 21:13:30 | 显示全部楼层
围观一下大神们的吃瓜。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 07:46 , Processed in 0.108341 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表