这似乎是第一家用机学解决magniber的？

LeeHS

隔山打空气 发表于 2022-7-24 19:46
没有回滚？

MDE这边是先侦测到了文件备份删除行为，然后直接扬了它

没这玩意，起码目前每次触发勒索都没见识到

huangzihang

隔山打空气 发表于 2022-7-24 19:41
奇怪，猎鹰明明比MDE强，但是对magniber，同样是自动EDR，MDE挡住了（非静态查杀，是EDR行为检测）还是没 ...

虽然员工数量比微软安全业务的员工多，但咋得出猎鹰比MDE强的结论的

隔山打空气

huangzihang 发表于 2022-7-24 20:08
虽然员工数量比微软安全业务的员工多，但咋得出猎鹰比MDE强的结论的

哦哦哦抱歉，之前那个for什么来着评估猎鹰比MDE得分高

而且论坛里面有人说猎鹰的侦测点更多，对抗APT机会更大

huangzihang

隔山打空气 发表于 2022-7-24 21:14
哦哦哦抱歉，之前那个for什么来着评估猎鹰比MDE得分高

而且论坛里面有人说猎鹰的侦测点更多，对抗APT ...

我也发现有个很神奇的点就是BEST（BD企业版）AVC测试99.9，MDE测试99.7，但是这玩意样本区就从来没漏过，连利用压缩文件恶意创建新文件夹的漏洞都能侦测到文件夹恶意利用。我真好奇AVC那0.03是怎么漏的

隔山打空气

huangzihang 发表于 2022-7-24 21:16
我也发现有个很神奇的点就是BEST（BD企业版）AVC测试99.9，MDE测试99.7，但是这玩意样本区就从来没漏过， ...

AV-C参测的是MDAV+MEM（后面可忽略，只是个远程策略管理器），相当于个人的MD，不是真正的MDE

真正的MDE有很大一部分是依赖于自动EDR即时阻断，甚至MDAV本体都不会有反应（除非启动AIR扫描到恶意软件时才会告警）
我测的那个magniber也是挺悬的只能说，EDR没检测到syscall而是直接发现白文件执行恶意行为，不过终究是拦下来了

呵呵大神001

隔山打空气 发表于 2022-7-24 19:41
奇怪，猎鹰明明比MDE强，但是对magniber，同样是自动EDR，MDE挡住了（非静态查杀，是EDR行为检测）还是没 ...

猎鹰的EDR和回滚就是个中流水平，但是页面花哨，还有个更离谱的公司darktrace，那页面还带大地球的，然后被彭博社爆40%经费用于打广告，而MDE已经是一流水平了，详见mitre的测试

隔山打空气

呵呵大神001 发表于 2022-7-25 16:07
猎鹰的EDR和回滚就是个中流水平，但是页面花哨，还有个更离谱的公司darktrace，那页面还带大地球的，然后 ...

那mitre是可见性更高，更少的配置更改，更少的遥测延迟一般就更好吗

另外forrester的EDR综合评估是否比mitre更有参考意义呢

神龟Turmi

huangzihang 发表于 2022-7-24 21:16
我也发现有个很神奇的点就是BEST（BD企业版）AVC测试99.9，MDE测试99.7，但是这玩意样本区就从来没漏过， ...

真的没漏过吗？我有点不太相信的样子
以我的固有认知MD（包括MD For Cloud，等同于MDE P2 ，但是没尝试过MD Endpoint独立版）对于ring0对抗非常弱
样本区也是有过好几个几乎all miss的rootkit的吧
只要rootkit的驱动加载起来了 在我理解里EDR应该是什么都干不了了

huangzihang

神龟Turmi 发表于 2022-7-25 20:24
真的没漏过吗？我有点不太相信的样子
以我的固有认知MD（包括MD For Cloud，等同于MDE P2 ，但是没尝试 ...

老杜说这些都是阉割过的，他的那个一年要花近30万的完全版貌似我真没见过漏的

神龟Turmi

huangzihang 发表于 2022-7-25 20:25
老杜说这些都是阉割过的，他的那个一年要花近30万的完全版貌似我真没见过漏的

这好办 我去找两个驱动带WHQL的外{过}{滤}挂来试一下就好了
除非你们都认为外{过}{滤}挂（带隐藏驱动，隐藏目录，限制其他后加载驱动的功能）不属于病毒