【入正】CylancePROTECT & CylanceOPTICS

显示全部楼层 · 发表于 2023-5-26 20:02:27

本帖最后由呵呵大神001 于 2023-5-26 21:56 编辑

Cylance是一家位于美国的安全软件公司，于2019年被BlackBerry收购。是黑莓现在的主业之一

CylancePROTECT® 是一种基于 AI 的终端保护平台 (EPP)，可以有效阻止网络攻击，并针对复杂的网络威胁提供安全防护——无需人工干预、网络连接、签名文件、启发技术或沙箱。

CylancePROTECT 利用 Cylance AI 和机器学习功能，提供自动的恶意软件防范、应用程序和脚本控制、内存保护以及设备策略强制实施功能。此NGAV可能比Deepinstinct还要原教旨一点（毕竟DI接入vt后就成为超级vtav了）Cylance的检测引擎都没有阈值可以调，CylanceProtect会把未知文件自动上传到CylancePROTECT cloud services来判断文件的恶意与否。Cylance曾经推出过Cylance Smart Antivirus，针对家庭用户的反病毒服务，现在已经停售，以下是家庭版与企业版的区别（少内存防护和脚本控制等）。

CylanceOPTICS® 是新一代支持云的终端检测与响应 (EDR) 解决方案，可配合 CylancePROTECT® 用于检测并修复整个组织的设备内部威胁。EDR 解决方案以预防为主，有效避免响应延迟，可在几毫秒内识别并阻止网络攻击，避免造成损失。CylanceOPTICS 通过可自动响应事件，化解终端威胁的内置自定义方案，提供无限的检测和响应功能。CylanceOPTICS 可自动收集相关安全信息以进行威胁搜寻和取证分析，为安全操作中心 (SOC) 分析师节省时间。CylanceOPTICS支持MITRE ATT&CK®映射，其威胁狩猎功能包括InstaQuery和高级查询（使用EQL语法）不支持remote shell。
控制台介绍

主页面，可以查看总体安全状态。

引擎政策页面，非常简洁，只能设置引擎开关和自动上传是否开启

内存保护设置，相比Deepinstinct的内存保护细致了许多，甚至还检测“Malicious Payload”可以说是主防的一部分了（他的主防一直都在，会关闭可疑进程）。可以设置为“忽略、警报、阻止（阻止进程调用，允许调用的程序继续运行）、终止（阻止进程调用和调用的程序）”

CylanceOPTICS设置，可以看到其可见性还是可以的，详细的EDR配置将在后文提到。

脚本控制，可以选择阻断VBScript、JScript、Powershell脚本、VBA/XLM宏、python脚本以及使用.NET DLR编写的脚本。

此为EDR预定义规则设定（我并没有截图所有的预定义规则），Cylance官方预定义了一些检测规则集，可以根据企业情况自行选择开启与否和响应措施。对于大部分预定义检测Cylance官方提供注销所有用户、注销交互式用户、注销远成用户、挂起进程、挂起进程树、终止进程、终止进程树、通知窗口等预定义响应措施，对于部分恶意文件检测还有删除恶意文件等措施。CylanceOPTICS支持INTEL® THREAT DETECTION TECHNOLOGY 以检测勒索软件加密行为（A炮落泪）

EDR检测页面等，提供的数据还算详细

CylanceOPTICS也支持自定义检测/响应规则与响应脚本编排，在此不详细介绍

InstaQuery和高级查询是CylanceOPTICS提供的两种威胁狩猎功能。InstaQuery允许管理员搜寻“文件、网络连接、进程、注册表项”等项目的详细信息，查询结果将保留60天。高级查询是InstaQuery的变种，使用 EQL 语法提供更精细的搜索功能（支持的项目在图中有）

请求焦点数据允许你可视化和分析杀伤链（在检测到恶意事件后会自动收集，也可以在检测的EDR时间里请求收集），以及这些事件的相关文件和命令行。焦点数据的保留时间为30天。其包含多种数据。（就是把和攻击有关的上下文EDR检测数据串一块）

威胁情报页面，可以查看报毒文件的Cylance AI得分，融合VT/Google，还可以查看静态/动态引擎的分析结果，个人感觉Cylance的引擎对勒索和PE恶意文件效果较好。（DI:为何如此相像），支持自主上传未知文件进行分析（小于10mb）

本地ui

十分甚至九分的简陋，，，不过可以设置用户可退出，比DI\CS\S1....不知道高到哪里去了

EPP和EDR吃的内存基本都在100m左右，对于功能如此强大的EDR来说算轻巧的。

就酱吧，cylance对误报的控制比di好多了（cylance号称误报大王），稍微排除下日常使用还是非常舒服的

显示全部楼层 · 发表于 2023-5-26 22:09:31

后排入座，顺便祭上@B100D1E55 大大的文章，搭配食用效果更佳

https://bbs.kafan.cn/thread-2154881-1-1.html 《研究人员发现绕过Cylance Protect的简单方法》

https://bbs.kafan.cn/thread-2092638-1-1.html 《Cylance小波分析检测技术》

显示全部楼层 · 发表于 2023-5-26 22:15:24

本帖最后由弗利萨于 2023-5-26 22:17 编辑

这个有黑历史啊，拿竞争对手的产品做对比演示找存在感结果是把对手的产品功能都关闭了，被人揭穿，恼羞成怒急眼了威胁经销商取消资格

显示全部楼层 · 发表于 2023-5-26 22:17:23

其实尽管过了这么久cylance误杀确实还是不少的，比如说抓着QQ一顿砍的（
不过比起DI的那个狂暴砍杀“DLL注入”和“恶意payload”之类还算是比较缓和的

EDR那个对IoA（IoB）自定义响应还是很适合想要自定义增强防护的用户的，折腾折腾比较有意思

但是那个沙盒。。。10MB最大文件大小。。。把那玩意当个后置动态启发得了（
它会指出文件本身的特征，例如一些可疑函数，还有动态分析结果

（话说那个威胁情报应该是威胁详细信息页面吧）（小声）

顺带一提cylance的引擎是能隔着infected密码杀压缩包的（（（

显示全部楼层 · 发表于 2023-5-26 22:34:36

弗利萨发表于 2023-5-26 22:15
这个有黑历史啊，拿竞争对手的产品做对比演示找存在感结果是把对手的产品功能都关闭了，被人揭穿，恼羞成怒 ...

Cylance和Sophos的对决~

显示全部楼层 · 发表于 2023-5-26 22:40:58

本帖最后由 Picca 于 2023-5-26 22:45 编辑

呵呵大神001 发表于 2023-5-26 22:34
Cylance和Sophos的对决~

不是赛门铁克吗？难道有啥没吃过的瓜

https://www.av-comparatives.org/ ... ld-protection-test/

话说老哥对安全操作系统熟悉吗？想问问你对qubes os的看法

显示全部楼层 · 发表于 2023-5-26 22:52:49

呵呵大神001 发表于 2023-5-26 22:34
Cylance和Sophos的对决~

您多少钱买的，我感觉企业版很贵的都是坑钱的，企业有钱好坑

显示全部楼层 · 发表于 2023-5-26 22:59:51

弗利萨发表于 2023-5-26 22:52
您多少钱买的，我感觉企业版很贵的都是坑钱的，企业有钱好坑

Protect 50刀/设备/年
Optics 16刀/设备/年
也就是66刀/设备/年
在NGAV里算最便宜的一档了

显示全部楼层 · 发表于 2023-5-26 23:11:05

本帖最后由弗利萨于 2023-5-26 23:12 编辑

神龟Turmi 发表于 2023-5-26 22:59
Protect 50刀/设备/年
Optics 16刀/设备/年
也就是66刀/设备/年

这个是挺便宜的，企业版亮点还是EDR功能把，这个功能比个人版的强很多啊，不知道个人版杀毒软件什么时候才能加入EDR功能，ai说这个功能成本太高个人用户用不起，也买不起所以个人版杀毒软件没有。

显示全部楼层 · 发表于 2023-5-26 23:27:21

本帖最后由隔山打空气于 2023-5-26 23:30 编辑

弗利萨发表于 2023-5-26 23:11
这个是挺便宜的，企业版亮点还是EDR功能把，这个功能比个人版的强很多啊，不知道个人版杀毒软件什么时候 ...

主要是个人版除了静态ML引擎几乎什么都没有，企业版EPP除了静态ML之外有一整套包括内存防护和行为监控的主防，EDR也提供了便捷设置的自定义响应规则，个人版跟企业版的保护实际上是没法比的。

不过前几年红队有针对CylancePROTECT的内存防护和行为监控的绕过，具体方法有对进程的hook解除，还有其他的绕过技术什么的，证明了想针对性攻破也不是难事。

不过这还是掩盖不了CylancePROTECT+CylanceOPTICS本身的强度，就实测而言貌似一个内存防护也不输Sophos的内存扫描和shellcode防护（还需要更多样本），虽然有黑历史倒也有点真材实料

[技术原创] 【入正】CylancePROTECT & CylanceOPTICS

本帖子中包含更多资源

评分

评分