本帖最后由 隔山打空气 于 2023-2-12 23:07 编辑
在体验了轻巧且误报控制优秀的Crowdstrike Falcon Pro、EDR监视与回滚能力超群,面对勒索软件所向披靡的SentinelOne Singularity Complete与静态ML狂杀各种Backdoor的Elastic Defend之后,我们的NGAV梯队中迎来了一位全新的成员——Deep Instinct。为便于称呼,我们在后文中可能会将其缩写为DI。
①首先,我们来介绍它的设置部分。由于龟大已经在他的帖子中展示了大部分设置,我们在此着重展示它的保护设置部分,这也能帮助我们了解它的主要着力方向。
D-Cloud 云端设置:提供黑白名单信誉鉴定,并支持某些保护设置,同时压制误报。
它会将已被ML引擎检出的文件上传后在云后端执行沙盒分析与快速人工分析(你没听错,尽管效果并不明显)
并将被鉴定无害的文件在数分钟内丢回到本地——虽然极少数情况下可能闹乌龙(指把木马生成器丢回来了,好在生成的木马都能查杀)
Deep Static Analysis
深度静态分析
是DI的静态ML(DL)引擎,检测可执行文件。(包括jar文件等)
Detection是检测的级别,达到此置信阈值及更高的阈值将引发Detect警报,但是否阻断取决于Prevent的设置。
Prevent是预防/查杀的级别,达到此置信阈值及更高的阈值将阻止执行,隔离文件并向D-Cloud上传数据(如果网络可用且设置打开)。
Known PUA:已知的潜在不受欢迎程序(需要开启并连接云)——具有 预防,检测,忽略 三档设置
Dual use Tools:两用工具,例如内存调查取证工具,已知的非Backdoor远程访问工具(需要开启并连接云)——具有 预防,检测,忽略 三档设置
Scan files accessed from network folders:扫描网络共享文件夹(?)
Embedded DDE object in Microsoft Office document:扫描Office文档文件中嵌入的DDE对象——具有 深度静态分析(进行扫描),允许 两档设置
Behavioral Analysis
行为分析
是DI的主动防御模块,监视内存与进程的可疑行为与特征并加以阻断或报告,拦截点通常靠前。
(本模块设置均具有 预防,检测,允许 三档设置)
Ransomware Behavior:检测类似勒索软件的操作并加以阻止。
In-Memory Protection:内存防护,DI应对内存中多种复杂的渗透攻击的防护措施,在拦截后门、无文件攻击时相当关键。
-Arbitrary Shellcode:Shellcode防护(直译为 任意shellcode),检测并阻止多种shellcode,对Backdoor的早期攻击阶段往往有奇效
-Remote Code Injection:阻止远程代码注入:检测并阻止远程代码注入,可有效抵御injector类或相似注入行为的恶意软件
-Reflective DLL Injection:阻止反射式DLL注入:检测并阻止反射式DLL注入,对包括Backdoor在内的多种基于此行为的白利用有奇效
-.Net Reflection:阻止 .NET反射:检测并阻止.NET反射行为,可能用于防御逃避
-AMSI Bypass:阻止AMSI绕过行为:检测并阻止尝试绕过AMSI的行为,这是恶意软件常用的防御逃避策略之一
-Credential Dumping:阻止凭据窃取:检测并阻止尝试窃取设备上的用户凭据行为(例如经典的LSASS内存转储)
-Known Payload Execution:阻止已知的payload执行
Suspicious Script Execution:检测并阻止可疑的脚本执行
Malicious PowerShell Command Execution:检测并阻止恶意(较高置信度)的powershell命令行执行,这是各种攻击(包括无文件攻击)的常用手段之一
*请注意,该防护只能在Windows10及更高的系统版本中生效
Malicious JavaScript Execution:检测并阻止恶意的js脚本执行
*请注意,该防护只能在Windows10及更高的系统版本中生效
Suspicious Activity Monitoring:可疑行为监视(原图中其与行为分析平级,我个人为了逻辑性和观感将其主观归入行为分析中,请谅解)
-Suspicious PowerShell Command Execution:检测并阻止可疑(较低置信度)的powershell命令行执行,以提高对恶意ps命令的检出率
*同样的,该防护只能在Windows10及更高的系统版本中生效
Script Control
脚本控制
用于控制脚本/命令行的执行,可根据企业或组织的需要进行定制,阻止多类脚本/命令行的执行,缩小攻击面
Macro Execution:控制office宏的执行
具有三档设置:由Windows设置阻止全部宏/深度静态分析防护(进行扫描)/允许所有宏(不建议)
Powershell Execution:控制powershell命令行的执行
具有三档设置:阻止全部ps命令行执行/检测并记录全部ps命令行执行(是否阻止取决于上述检测功能是否检测到恶意ps命令)/允许非恶意ps命令行执行
HTML Applications (HTA files) and JavaScript via rundll32 executions:控制HTA文件与JS脚本通过rundll32执行的行为
具有三档设置:阻止所有/记录所有/允许非恶意执行
ActiveScript Execution:控制ActiveScript脚本执行
When ActiveScripts (JavaScript & VBScript) are executed:设置当JS/VBS脚本执行时的控制策略
具有两档设置:
通过Windows设置阻止全部JS/VBS脚本执行
使用Windows的默认设置(当选择此项时,进入下一步判定)
-If ActiveScripts are allowed by Windows, select the action on these scripts when detected
-如果ActiveScripts被Windows设置允许执行,则对这些脚本采取下列措施:
三档设置:阻止所有/记录所有/允许非恶意
最后一幅图中的部分功能本人尚无法完全理解,恕不能完全解释,在此致歉
Upgrade D-Client automatically:自动升级DI客户端
Integrate D-Client with Windows Security Center:将DI注册到Windows安全中心,此操作将使DI代替Microsoft Defender(默认情况下)
Display D-Client user interface (device restart required):是否显示DI的用户界面,更改后需要重启设备才能生效
Uninstall password:本地卸载时需要的密码
Permitted connections for network isolated devices:在network isolated指令生效期间仍然保持的例外网络连接,单击add connections,设定入站出站,端口号,IP地址。
Gradual Deployment:限制并发下载线程从而控制下载速率并减少带宽压力
Perform scheduled full scan:计划定时全盘扫描(暂未发现除此设置和安装时自动执行扫描之外启动全盘扫描的方法)
②简单陈述了它的保护设置,接下来就是简单测试它的保护能力了,对于DI来说,测试不必过于担心拉黑导致的“作弊行为”,因为他们的机器学习引擎更新频率很低并且实测云端对于新威胁的存在感并不高,主要是用于压制误报。
DI的ML引擎并没有静态检出,让我们进行双击。
很好,DI的主防检测到了尝试执行shellcode的行为并将其拦截。
再去隔壁tou...借一个结果(CS马1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))@呵呵大神001 别打我(
DI的静态引擎检测到了它。
DI的静态引擎对它的置信度很高,但云台显示的分类似乎有一些小小的问题(dropper),不过并无大碍。
让我们来尝试一个powershell脚本。(Ps远控 1x_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))
DI的powershell脚本监控(行为分析)立刻检测并拦截了它,powershell被立即终止。
DI真是意气风发啊,不能让它这么得意,来个我们熟悉的老伙计狠狠地打击一下DI!Magniber,出击!(#Magniber msi 1X 20230206_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn))
解压后果不其然,DI的静态引擎没有检测到它,那么,来吧!狭路相逢勇者胜!拥抱战斗的荣耀!
DI:...你,胜一筹(被干烂
我的文件损失惨重!我需要重新集结虚拟机——
总的来说嘛,DI对于各种渗透性的恶意软件,表现还是相当亮眼的,尤其是在它作为“NGNGAV”的身份,真不枉它拿深度学习做文章,可以说真的是有两下子!
不过,它对于类似jar勒索和一些过于刁钻的注入式恶意软件,破坏性恶意软件恐仍有短板,需改进。
哦对了,顺便展示一下它的日常内存占用。
它的物理内存占用还是非常轻巧的,而且据代-理商测试,它的兼容性是很强的,可以较为安稳地搭配其它安全软件使用,但它的误报实际仍较高,需要先测试性部署,手动添加部分常用程序的白名单。
(例如会咬住国内的ACE反作弊驱动就是不松口!)(而且似乎会误报mhy的某些sdk,以及行为分析误判某些exe为DLL反射注入)
先写到这里吧,我对DI的表现还是相当满意的,它轻巧,兼容性高,可有效对抗主机上的多种复杂恶意软件,作为NGAV已经是相当不容易的了,但行为防护,尤其是对破坏性恶意软件的防护仍需要其它措施来补全,例如文件夹保护等,来减少用户受到损失的概率。
| 
[复制链接]
发表于 2023-2-12 23:01:22
而且没公网IP,笔记本出了内网就瞎了