查看: 4981|回复: 8
收起左侧

[分享] Deep Instinct体验测评——“原教旨主义”的NGAV

[复制链接]
隔山打空气
发表于 2023-2-12 23:01:22 | 显示全部楼层 |阅读模式
本帖最后由 隔山打空气 于 2023-2-12 23:07 编辑

特别感谢 @神龟Turmi 大大的授权与@呵呵大神001 @谈谈MEMZ 的支持。

在体验了轻巧且误报控制优秀的Crowdstrike Falcon Pro、EDR监视与回滚能力超群,面对勒索软件所向披靡的SentinelOne Singularity Complete与静态ML狂杀各种Backdoor的Elastic Defend之后,我们的NGAV梯队中迎来了一位全新的成员——Deep Instinct。为便于称呼,我们在后文中可能会将其缩写为DI。


不知道NGAV厂是不是都有一些怪脾气,这位先生也不例外,它将自己称之为“深度学习驱动安全”,是凌驾于NGAV之上的NGNGAV(详见EDR很拉跨的八个理由——Deepinstinct荣誉出品_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))!它的理念也是预防高于响应,我们就不再赘述。至于为什么标题说它是一款“原教旨主义”的NGAV呢?那是因为它的深度学习模型会优先选择支持的显卡执行运算,在此情况下则无需CPU进行计算,因此即便在大量新文件写入时也不会给用户的CPU带来明显负担。(详见【入正】DeepInstInct Endpoint Protection_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))一帖。


①首先,我们来介绍它的设置部分。由于龟大已经在他的帖子中展示了大部分设置,我们在此着重展示它的保护设置部分,这也能帮助我们了解它的主要着力方向。




D-Cloud 云端设置:提供黑白名单信誉鉴定,并支持某些保护设置,同时压制误报。

它会将已被ML引擎检出的文件上传后在云后端执行沙盒分析与快速人工分析(你没听错,尽管效果并不明显)

并将被鉴定无害的文件在数分钟内丢回到本地——虽然极少数情况下可能闹乌龙(指把木马生成器丢回来了,好在生成的木马都能查杀)

Deep Static Analysis

深度静态分析

是DI的静态ML(DL)引擎,检测可执行文件。(包括jar文件等)

Detection是检测的级别,达到此置信阈值及更高的阈值将引发Detect警报,但是否阻断取决于Prevent的设置。

Prevent是预防/查杀的级别,达到此置信阈值及更高的阈值将阻止执行,隔离文件并向D-Cloud上传数据(如果网络可用且设置打开)。




Known PUA:已知的潜在不受欢迎程序(需要开启并连接云)——具有 预防,检测,忽略 三档设置

Dual use Tools:两用工具,例如内存调查取证工具,已知的非Backdoor远程访问工具(需要开启并连接云)——具有 预防,检测,忽略 三档设置

Scan files accessed from network folders:扫描网络共享文件夹(?)

Embedded DDE object in Microsoft Office document:扫描Office文档文件中嵌入的DDE对象——具有 深度静态分析(进行扫描),允许 两档设置






Behavioral Analysis

行为分析

是DI的主动防御模块,监视内存与进程的可疑行为与特征并加以阻断或报告,拦截点通常靠前。

(本模块设置均具有 预防,检测,允许 三档设置)

Ransomware Behavior:检测类似勒索软件的操作并加以阻止。

In-Memory Protection:内存防护,DI应对内存中多种复杂的渗透攻击的防护措施,在拦截后门、无文件攻击时相当关键。

-Arbitrary Shellcode:Shellcode防护(直译为 任意shellcode),检测并阻止多种shellcode,对Backdoor的早期攻击阶段往往有奇效

-Remote Code Injection:阻止远程代码注入:检测并阻止远程代码注入,可有效抵御injector类或相似注入行为的恶意软件

-Reflective DLL Injection:阻止反射式DLL注入:检测并阻止反射式DLL注入,对包括Backdoor在内的多种基于此行为的白利用有奇效

-.Net Reflection:阻止 .NET反射:检测并阻止.NET反射行为,可能用于防御逃避

-AMSI Bypass:阻止AMSI绕过行为:检测并阻止尝试绕过AMSI的行为,这是恶意软件常用的防御逃避策略之一

-Credential Dumping:阻止凭据窃取:检测并阻止尝试窃取设备上的用户凭据行为(例如经典的LSASS内存转储)

-Known Payload Execution:阻止已知的payload执行

Suspicious Script Execution:检测并阻止可疑的脚本执行

Malicious PowerShell Command Execution:检测并阻止恶意(较高置信度)的powershell命令行执行,这是各种攻击(包括无文件攻击)的常用手段之一

*请注意,该防护只能在Windows10及更高的系统版本中生效

Malicious JavaScript Execution:检测并阻止恶意的js脚本执行

*请注意,该防护只能在Windows10及更高的系统版本中生效




Suspicious Activity Monitoring:可疑行为监视(原图中其与行为分析平级,我个人为了逻辑性和观感将其主观归入行为分析中,请谅解

-Suspicious PowerShell Command Execution:检测并阻止可疑(较低置信度)的powershell命令行执行,以提高对恶意ps命令的检出率

*同样的,该防护只能在Windows10及更高的系统版本中生效





Script Control

脚本控制

用于控制脚本/命令行的执行,可根据企业或组织的需要进行定制,阻止多类脚本/命令行的执行,缩小攻击面

Macro Execution:控制office宏的执行

具有三档设置:由Windows设置阻止全部宏/深度静态分析防护(进行扫描)/允许所有宏(不建议)

Powershell Execution:控制powershell命令行的执行

具有三档设置:阻止全部ps命令行执行/检测并记录全部ps命令行执行(是否阻止取决于上述检测功能是否检测到恶意ps命令)/允许非恶意ps命令行执行

HTML Applications (HTA files) and JavaScript via rundll32 executions:控制HTA文件与JS脚本通过rundll32执行的行为

具有三档设置:阻止所有/记录所有/允许非恶意执行

ActiveScript Execution:控制ActiveScript脚本执行

When ActiveScripts (JavaScript & VBScript) are executed:设置当JS/VBS脚本执行时的控制策略

具有两档设置:

通过Windows设置阻止全部JS/VBS脚本执行

使用Windows的默认设置(当选择此项时,进入下一步判定)

-If ActiveScripts are allowed by Windows, select the action on these scripts when detected

-如果ActiveScripts被Windows设置允许执行,则对这些脚本采取下列措施:

三档设置:阻止所有/记录所有/允许非恶意




最后一幅图中的部分功能本人尚无法完全理解,恕不能完全解释,在此致歉

Upgrade D-Client automatically:自动升级DI客户端

Integrate D-Client with Windows Security Center:将DI注册到Windows安全中心,此操作将使DI代替Microsoft Defender(默认情况下)

Display D-Client user interface (device restart required):是否显示DI的用户界面,更改后需要重启设备才能生效

Uninstall password:本地卸载时需要的密码




Permitted connections for network isolated devices:在network isolated指令生效期间仍然保持的例外网络连接,单击add connections,设定入站出站,端口号,IP地址。



Gradual Deployment:限制并发下载线程从而控制下载速率并减少带宽压力

Perform scheduled full scan:计划定时全盘扫描(暂未发现除此设置和安装时自动执行扫描之外启动全盘扫描的方法)

②简单陈述了它的保护设置,接下来就是简单测试它的保护能力了,对于DI来说,测试不必过于担心拉黑导致的“作弊行为”,因为他们的机器学习引擎更新频率很低并且实测云端对于新威胁的存在感并不高,主要是用于压制误报。

DI的ML引擎并没有静态检出,让我们进行双击。


很好,DI的主防检测到了尝试执行shellcode的行为并将其拦截。

再去隔壁tou...借一个结果(CS马1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))@呵呵大神001 别打我(
DI的静态引擎检测到了它。



DI的静态引擎对它的置信度很高,但云台显示的分类似乎有一些小小的问题(dropper),不过并无大碍。

让我们来尝试一个powershell脚本。(Ps远控 1x_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



DI的powershell脚本监控(行为分析)立刻检测并拦截了它,powershell被立即终止。

DI真是意气风发啊,不能让它这么得意,来个我们熟悉的老伙计狠狠地打击一下DI!Magniber,出击!(#Magniber msi 1X 20230206_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

解压后果不其然,DI的静态引擎没有检测到它,那么,来吧!狭路相逢勇者胜!拥抱战斗的荣耀!



DI:...你,胜一筹(被干烂

我的文件损失惨重!我需要重新集结虚拟机——

总的来说嘛,DI对于各种渗透性的恶意软件,表现还是相当亮眼的,尤其是在它作为“NGNGAV”的身份,真不枉它拿深度学习做文章,可以说真的是有两下子!

不过,它对于类似jar勒索和一些过于刁钻的注入式恶意软件,破坏性恶意软件恐仍有短板,需改进。

哦对了,顺便展示一下它的日常内存占用。



它的物理内存占用还是非常轻巧的,而且据代-理商测试,它的兼容性是很强的,可以较为安稳地搭配其它安全软件使用,但它的误报实际仍较高,需要先测试性部署,手动添加部分常用程序的白名单。
(例如会咬住国内的ACE反作弊驱动就是不松口!)(而且似乎会误报mhy的某些sdk,以及行为分析误判某些exe为DLL反射注入)

先写到这里吧,我对DI的表现还是相当满意的,它轻巧,兼容性高,可有效对抗主机上的多种复杂恶意软件,作为NGAV已经是相当不容易的了,但行为防护,尤其是对破坏性恶意软件的防护仍需要其它措施来补全,例如文件夹保护等,来减少用户受到损失的概率。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 9分享 +3 魅力 +1 人气 +25 收起 理由
1312773569 + 3 版区有你更精彩: )
uu005 + 3
屁颠屁颠 + 3 + 1 + 3 版区有你更精彩: )
虚无混沌 + 3 版区有你更精彩: )
danger + 2 空气酱。。。

查看全部评分

呵呵大神001
发表于 2023-2-12 23:46:36 | 显示全部楼层
支持空气酱!
di真的误报控制很差(不联网的前提下
真 断网提高检测率
a卡也能用啦(摊手
一个nn走天下,误报控制迫真mdr(笑
总之还是很不错的))

评分

参与人数 1人气 +3 收起 理由
隔山打空气 + 3 版区有你更精彩: )

查看全部评分

真是令人摸不到
发表于 2023-2-23 13:51:23 | 显示全部楼层
支持!可否私我一下代?理商?
Eunismal
发表于 2023-2-23 20:23:08 | 显示全部楼层
个人有办法弄到吗?
asbjdj
发表于 2023-2-25 09:57:44 | 显示全部楼层
不想花太多钱还想体验NGAV可以试试elastic,可以本地部署而且铂金版可以破解
神龟Turmi
发表于 2023-2-25 17:00:00 | 显示全部楼层
Eunismal 发表于 2023-2-23 20:23
个人有办法弄到吗?

你愿意买10设备的话 有办法
最终价格应该是500美元/年左右

Eunismal
发表于 2023-2-25 18:19:23 | 显示全部楼层
本帖最后由 Eunismal 于 2023-2-25 18:24 编辑
asbjdj 发表于 2023-2-25 09:57
不想花太多钱还想体验NGAV可以试试elastic,可以本地部署而且铂金版可以破解

没服务器而且没公网IP,笔记本出了内网就瞎了
Eunismal
发表于 2023-2-25 18:20:39 | 显示全部楼层
本帖最后由 Eunismal 于 2023-2-25 18:23 编辑
神龟Turmi 发表于 2023-2-25 17:00
你愿意买10设备的话 有办法
最终价格应该是500美元/年左右

说出来听听怎么买,然后我再考虑买不买
不过这比ESET Protect Advanced的5设备要贵

神龟Turmi
发表于 2023-2-25 18:32:18 | 显示全部楼层
Eunismal 发表于 2023-2-25 18:20
说出来听听怎么买,然后我再考虑买不买
不过这比ESET Protect Advanced的5设备要贵

他们在台湾有DL商 邮件联系
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:07 , Processed in 0.136590 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表