楼主: 神龟Turmi
收起左侧

[技术原创] 【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢? 第三期

  [复制链接]
神龟Turmi
 楼主| 发表于 2023-1-21 10:40:19 | 显示全部楼层
uu005 发表于 2023-1-21 10:22
对于部分安全软件的结果有个疑问,关于解压即杀的 payload,是否免杀后再测试更严谨?

绝大多数真实世界场景你不知道对方用的是什么安全软件,即使你知道也有很大概率是你买不到的安全软件(例如CrowdStrike/S1/Cyberason)没有机会针对单个安全软件做免杀的
Picca
发表于 2023-1-21 11:02:07 | 显示全部楼层
本帖最后由 Picca 于 2023-1-21 11:10 编辑

会测deepinstinct吗,有点期待这个

zonealarm居然没过,哈哈哈,看来不该这么快跟卡巴说拜拜~


神龟Turmi
 楼主| 发表于 2023-1-21 11:04:01 | 显示全部楼层
Picca 发表于 2023-1-21 11:02
会测deepinstinct吗,有点期待这个

我这几天拿不到哦

评分

参与人数 1人气 +1 收起 理由
Picca + 1 感谢解答: )

查看全部评分

uu005
发表于 2023-1-21 11:14:20 | 显示全部楼层
神龟Turmi 发表于 2023-1-21 02:40
绝大多数真实世界场景你不知道对方用的是什么安全软件,即使你知道也有很大概率是你买不到的安全软件(例 ...
你不知道对方用的是什么安全软件

疑问 2,若是攻击企业的杀链,供应链情报是情报收集的重要一环?我红队的经验不够,希望探讨。

如果用攻击企业的方法攻击个人安全软

此实验的目的是什么,评测个人安全软件对先进威胁的防护能力?
我的疑问在于,既有的静态特征是否会干扰实验结果。若有干扰,严谨地,应控制此变量。
神龟Turmi
 楼主| 发表于 2023-1-21 11:30:20 | 显示全部楼层
uu005 发表于 2023-1-21 11:14
疑问 2,若是攻击企业的杀链,供应链情报是情报收集的重要一环?我红队的经验不够,希望探讨。
疑问 2,若是攻击企业的杀链,供应链情报是情报收集的重要一环?我红队的经验不够,希望探讨。

只拿国内的情况是否有些以偏概全?我前面就说了即使你知道也有很大概率是你买不到的安全软件(例如CrowdStrike/S1/Cyberason),既然买不到对方用的安全软件即使知道了又有什么用呢,没法测试和不知道有什么区别呢?
我的疑问在于,既有的静态特征是否会干扰实验结果。若有干扰,严谨地,应控制此变量。

我认为静态杀也是防护能力很重要的一部分,我是在不知道这些做法能bypass哪些安全软件的情况下盲测,样本不变,控制的变量是安全软件本身

IamAngry
发表于 2023-1-21 11:43:25 | 显示全部楼层
DrWeb竟然没翻车,看来俄罗斯江民还是有一套
uu005
发表于 2023-1-21 12:20:23 | 显示全部楼层
本帖最后由 uu005 于 2023-1-21 04:23 编辑
神龟Turmi 发表于 2023-1-21 03:30
只拿国内的情况是否有些以偏概全?我前面就说了即使你知道也有很大概率是你买不到的安全软件(例如Crow ...

我认为静态杀也是防护能力很重要的一部分,我是在不知道这些做法能bypass哪些安全软件的情况下盲测,样本不变,控制的变量是安全软件本身
此回复很好地解答了我的疑问 1。
我的疑问 1 来自于经验,我经手过的 cases 大都规避了静态特征。


只拿国内的情况是否有些以偏概全?我前面就说了即使你知道也有很大概率是你买不到的安全软件(例如CrowdStrike/S1/Cyberason),既然买不到对方用的安全软件即使知道了又有什么用呢,没法测试和不知道有什么区别呢?
我理解了你说的。
疑问 2 有些跑题。我原本是想了解了解,红队在不去掌握/无法掌握此情报的情况下,在无法针对免杀的情况下,怎么应对安全软件。

呵呵大神001
发表于 2023-1-21 15:02:40 | 显示全部楼层
本帖最后由 呵呵大神001 于 2023-1-21 15:10 编辑
uu005 发表于 2023-1-21 12:20
此回复很好地解答了我的疑问 1。
我的疑问 1 来自于经验,我经手过的 cases 大都规避了静态特征。

要不你做一个测评,本身就是针对家用安软的测评,并且已经尽量控制了变量(我们准备了不同批次的样本来应对拉黑,hmpa测后直接拉黑c2的sophos已经被排除在测评之外了),个人能力有限多多包容。。

评分

参与人数 1人气 +2 收起 理由
uu005 + 2

查看全部评分

隔山打空气
发表于 2023-1-21 16:50:19 | 显示全部楼层
uu005 发表于 2023-1-21 12:20
此回复很好地解答了我的疑问 1。
我的疑问 1 来自于经验,我经手过的 cases 大都规避了静态特征。

我个人不是很懂这些,只是提一嘴我个人的观点。
在 侦察 阶段未能获取有效情报或者情报不足以推断出目标使用的安全软件时,可尝试使用现有的一些常用的高成功率攻击手法攻击目标系统,顺便把常用防护技术都对抗一遍。
例如,通过powershell加载多种方式混淆过后的IEX命令,并将下载的混淆payload直接加载入内存执行,这些动作可以合在一个ps命令中完成。
为了对抗内存扫描,可以对恶意软件的内存特征进行修改,为了减少因加壳高熵导致被ML引擎判断为可疑的可能性,可以使用XOR加密来有效地降低文件熵值。有一些APT为了逃避检测甚至专门创造了多种只能被自己的加载器加载的格式,在加载时将多个碎片拼合起来注入内存。

评分

参与人数 1人气 +2 收起 理由
uu005 + 2

查看全部评分

uu005
发表于 2023-1-21 20:13:46 | 显示全部楼层
呵呵大神001 发表于 2023-1-21 07:02
要不你做一个测评,本身就是针对家用安软的测评,并且已经尽量控制了变量(我们准备了不同批次的样本来应 ...

所言过谦了,你们做得已经很棒了,大部分人都办不到,感谢贡献。
我没有否定的意思,只是提出个疑问/观点,目的是讨论。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 08:31 , Processed in 0.095678 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表