查看: 6318|回复: 39
收起左侧

[讨论] 你以为的SEP 14.3 RUX版本与实际上的SEP 14.3 RUX版本【大大出人意料】

  [复制链接]
驭龙
发表于 2024-6-24 23:49:45 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2024-6-25 00:27 编辑

自从Norton把Symantec打包卖给博通,我几乎没怎么关心过SEP,这两天因为Norton彻底放弃Symantec技术,我就去看了看现在的SEP,结果大大出乎我的意料。

这是你以为的SEP 14.3 RU系列更新,平平无奇,好像一直在吃老本啊。
您可以查看 Symantec Endpoint Protection 14.x 所有版本的更改内容列表。此列表包括新增的操作系统和浏览器支持以及新功能更改。
Windows 客户端的更改也适用于由 Symantec Endpoint Security (SES) 云服务器管理的那些客户端。云管理的客户端(也称为 Symantec agent)与内部管理的客户端相同。
对于混合管理,请升级到最新的 Symantec Endpoint Protection Manager 和 Symantec Endpoint Protection 客户端版本 SEP 14.3 MP1 (14.3.1169.0010) 或更高版本。
您可以使用客户端版本 14.3 MP1 (14.3.1169.0010) 或更高版本在云中实现完全托管。
有关详细信息,请参见:
Endpoint Protection 和所有 Endpoint Protection 版本的版本说明、新修复和系统要求(包括版本号、发行日期、内部版本号)
Symantec Endpoint Protection 14 所有版本的产品指南
版本 14.3 RU8
为浏览器入侵防护添加了 Microsoft Edge 支持。
纳入了已注册并连接到 Symantec Endpoint Security 云服务器的 SEPM 域的日志事件,
已弃用 Web 和云访问防护 PAC 文件重定向方法。
Symantec Endpoint Protection 14.3 RU8 有哪些新增功能?
版本 14.3 RU7
提供 SEPM 和云控制台同步状态的通知。
针对联邦客户和商业客户的 FIPS 140-2 兼容性增强。
增强了对联邦组织的智能卡支持,包括改进了对 Thales SafeNet IDPrime 卡的支持。
中文版 Symantec Endpoint Protection 客户端风险日志中的自定义文件夹显示正确的字符,例如 C:\Windows\训练
Symantec Endpoint Protection 14.3 RU7 有哪些新增功能?
版本 14.3 RU6
Windows 客户端不再运行 Microsoft Windows 32 位操作系统,但要运行 Microsoft Windows 10 2H22。
为减少误报,在 Windows 客户端上,针对恶意活动的“下载智能分析”滑块先前已锁定为级别 1,以提供基本下载防护。
当系统管理员使用 Symantec Endpoint Security 云服务器启动 SEPM 注册时,Symantec Endpoint Protection Manager (SEPM) 会发送电子邮件警报。
您可以使用客户端计算机上的日期和时区确定病毒和间谍软件扫描开始和结束的时间。
Linux 设置 > 全局扫描选项页面包含一个选项,用于记录 Linux agent在进行恶意软件检测执行的检测。
Symantec Endpoint Protection 14.3 RU6 有哪些新增功能?
版本 14.3 RU5
系统锁定支持文件指纹列表,以包括更安全的 SHA-256 和传统 MD5 哈希类型。当您升级到 14.3 RU5 时,Symantec Endpoint Protection Manager 允许您使用收集文件指纹列表命令或其他方法重新生成和重新导入所有现有文件指纹列表。
例外策略在 Windows 客户端文件路径中的任意位置都支持通配符星号 (*) 和问号 (?)。可以使用通配符从扫描中排除文件和文件夹组,而非按名称添加每个文件。
对于证书例外,例外策略支持更安全的 SHA-256 哈希类型。
Web 和云访问防护策略提供了 Symantec Web Security Service (WSS) 用于从 Symantec Endpoint Protection 客户端标识通信的两种新方法。现在,您可以基于控制台用户或使用 WSS SAML 身份验证以及基于运行进程(在 14.3 RU4 中添加)标识通信。
您可以对所有域中的管理员强制更复杂的密码要求。
Symantec Endpoint Protection 14.3 RU5 的新增功能
版本 14.3 RU4
如果要在 Windows、Mac 或 Linux 计算机上升级或安装 Symantec Endpoint Protection 客户端版本 14.3 RU3 或更高版本,除某些情况以外,您无需重新启动客户端。
改进了使用行为规则的防护,以防止损坏某些文件类型 (如 Microsoft Word 和 jpg) 以及大容量写入。
Web 和云访问防护策略现在使用最新版本的 Symantec Web Security Service (WSS) Agent,即版本 7.x。7.x 版本提供了许多增强功能。
通过在防火墙规则中选择网络适配器来阻止通过蓝牙设备访问的未筛选流量。
有关详细信息,请参见:
Symantec Endpoint Protection 14.3 RU4 的新增功能
版本 14.3 RU3
增强了针对就地取材工具的防护。
可对使用客户端升级策略自动升级客户端进行灵活控制。该策略支持位置感测,以便您将子组设为目标。
使用机器学习和云分析改进了 Linux 上的威胁防护。
增强了 Symantec Endpoint Protection Manager 中的浏览器扩展状态报告功能。
Windows Server 2022 支持 Symantec Endpoint Protection Manager。
Windows 客户端受 Windows Server 2022 和 Windows 10 Embedded 支持,并在 Windows 11 和 Windows 11 Embedded 的预发行版本中进行了测试。
Windows 客户端的改进包括:用于进行混合管理的新故障排除页面,以及调试日志改进。
Linux agent的改进包括:更多命令行工具 (sav) 选项;可以使用本地存储库中的安装包离线安装 Linux agent等。
Mac 客户端的改进将于 2021 年 10 月发布。
有关详细信息,请参见:
Symantec Endpoint Protection 14.3 RU3 的新增功能
版本 14.3 RU2
包括利用与反恶意软件扫描接口 (AMSI) 的扩展集成来提供运行时防护,以防范无文件威胁,如恶意 Excel 宏 (XLM) 和使用 Windows Management Instrumentation (WMI) 的负载。
增强型行为检测和防护改进了对恶意修改或删除用户文件的行为检测和防护,有助于防范系列勒索软件,例如 Ryuk 和 Netwalker。
浏览器扩展为 Google Chrome Web 浏览器发送和接收的 HTTP 和 HTTPS 通信提供了更强大的保护。客户端会阻止用户访问恶意站点,并将用户重定向到默认登录页面。浏览器扩展取决于 IPS;因此,必须启用 IPS 策略并将其分配给组。如果计算机加入了 Active Directory 域,则默认情况下会从 LiveUpdate 下载浏览器扩展。否则,将从 Google Web Store 下载浏览器扩展。
管理员能够在远程客户端上从 Symantec Endpoint Protection Manager 控制台检索已隔离的文件。这些恶意文件可用于进一步进行调查和执行沙盒。要上载已隔离的文件,新的从客户端上载已隔离的文件选项会自动从客户端上载所有已隔离的文件。然后,您可以使用下载客户端已隔离的文件命令从风险日志中选择和检索单个文件。管理服务器不再支持旧版本的 Central Quarantine Server。
入侵防护 (IPS) 内容已经过显著优化,以减小内容规模并提高网络吞吐量。此改进适用于所有受支持的 Symantec Endpoint Protection 版本。
包括关键修复和安全更新所需的自动 LiveUpdate。从 SEP 14.3 RU2 开始,关键修补程序和安全修复通过 LiveUpdate 自动交付到客户端,以减轻管理agent更新的管理负担。这些修补程序仅包括重要修复;新功能通过版本更新 (RU) 单独交付。
Symantec Endpoint Protection 客户端和 Symantec Endpoint Protection Manager 仅以下列五种语言进行了本地化:英语、法语、西班牙语、葡萄牙语和日语。如果以前的客户端语言不可用,您可以使用如果不受支持的语言不可用,则升级为英语选项自动将客户端语言升级为英语。如果未选择英语,则语言不受支持的客户端将不会进行升级。
位置感测功能包含四个新条件:计算机的主机名、用户名和组名、操作系统以及特定文件是否在客户端上运行。
有关详细信息,请参见:
Symantec Endpoint Protection 14.3 RU2 的新增功能
版本 14.3 RU1 MP1
增加了使用 AD 格式(例如 username@domain.com 或 domain\username)的凭据登录 Symantec Endpoint Protection Manager 的功能。
安装功能和设置下的新选项更新时保留现有客户端功能允许您创建和导出仅会将客户端升级到新版本,但不会对配置、客户端通信或已安装功能进行更改的客户端软件包。
现在,反恶意软件 AMSI 扫描在扫描运行前的脚本文件时会考虑文件/文件夹例外。
有关详细信息,请参见:
Symantec Endpoint Protection 14.3 RU1 MP1 的新增功能
版本 14.3 RU1
包含可以从内部部署 Symantec Endpoint Protection Manager 或 Symantec Endpoint Security 云服务器安装和管理的新 Symantec Mac agent和 Symantec Linux agent。
使用行为保护或 SONAR 防御 macOS 上的新威胁和未知威胁。
禁止非受信任的不可移植可执行 (PE) 文件,如尚未通过文件访问例外标识为威胁的 PDF 文件和脚本。
根据网页的信誉分数防御网络威胁。入侵防护策略包括 URL 信誉过滤,其禁止信誉分数低于特定阈值的网页。
嵌入式数据库已更新到 Microsoft SQL Express 数据库。SQL Server Express 数据库比默认嵌入式数据库更高效地存储策略和安全事件,并自动随 Symantec Endpoint Protection Manager 一起安装。
有关详细信息,请参见:
Symantec Endpoint Protection 14.3 RU1 的新增功能

然而这是实际上的SEP 14.3 RU系列更新,为什么?这是什么鬼?难道这些年SEP并没有止步不前?只不过没有共享给Norton?众所周知,Norton的监控架构一直停留在15.7.xx版本,而SEP的核心监控架构N年之前就启用16.X系。

Symantec Endpoint Protection (SEP) 和 Symantec Endpoint Security (SES) 包括一些增强功能,可帮助您的客户端计算机防范就地取材式 (LotL) 工具以及恶意软件市场中发布的文件、网络工具和其他常规攻击工具。
目标性攻击团体和公共网络犯罪团伙一直在采用就地取材式战略 — 即攻击者利用目标系统上已存在的本机工具和服务。
以下技术可防范目标性勒索软件威胁。
14.3 RU9
更新了对以下勒索软件威胁的保护:
Akira、Albabat、Babuk、BiBi wiper、Black Basta、Blackcat、BlackHunt、BlackSuit、DoNex、Freeworld、Hunter International, Inc、Knight、Kuiper、Lockbit、Medusa、Mimic、Qilin、Phobos、Phoenix、Stop、Trigona、Tuga 勒索软件系列以及用于勒索软件攻击的各种工具。
针对各种预勒索软件和外泄工具(包括 impacket、MegaSync、FileZilla 和 WinSCP)改进了端点网络保护。
14.3 RU8
更新了针对以下勒索软件威胁的防护:
Akira、Bianlin、Blackbyte、Blackcat、BlackBasta、Crosslock、Hardbit、Hsharada、IceFire、Lockbit、Magniber、Moneybird、Moneymessage、Noberus、Nokoyawa、Rancoz、Royal 以及勒索软件攻击中使用的各种工具。
更新了针对以下恶意软件的防护:
Qakbot、AgentTesla、Gopuram、Icedid、恶意 Chrome WebExtensions、VipersoftX、Xworm。
改进了攻击组补救 (AGR) 功能以支持终止更多进程。AGR 会识别检测到的攻击中的所有组件,并确保删除作为攻击一部分的每个进程和线程。
增强了针对 MSI 恶意软件的扫描流程。
增强了对 IcedID 使用的 VBA 下载器的仿真支持。
针对 PDF 恶意软件发布了新的检测框架。
改进了 OneNote 分析器以提取其他文件类型。
14.3 RU7
Hardbit、IceFire、Lockbit、Magniber、Moneymessage、Noberus、Nokoyawa、Royal 和各种前期勒索软件工具。
14.3 RU6
网络防护技术
增强了针对勒索软件系列(如 Conti、Avoslocker 和 Hive)的网络防护。
改进了针对勒索软件攻击中使用的勒索软件前期工具的网络检测和防护。
改进了网络检测和防护,可防范勒索软件攻击中所使用的初始访问和横向移动技术。
文件检查技术
改进了针对 LNK 威胁的模拟和启发式技术。
改进了针对 HTML 威胁(如 Qakbot 和 Gamaredon)的模拟和启发式技术。
改进了针对勒索软件前期活动中使用的 BAT 脚本的模拟和启发式技术。
改进了针对勒索软件前期活动的 PowerShell 模拟。
改进了对 VBA 提取和 VBE/JSE 解码的引擎功能。
实现了非 PE 云查找,可提升非 PE 威胁防护功效。
行为防护
改进了对重命名的 LotLBin 的启发式检测。
改进了 BASH 内存扫描性能和功效(勒索软件、Cobalt Strike)。
增强了对 Bumblebee 等威胁的线程注入防护。
改进了大型文件大小相关威胁的 BPE 范围。
增强了 AEP 和 JESE 扫描流功能,可防范会利用 svg 属性丢弃负载的 Qakbot。
改进了常规勒索软件 BPE 检测,以减少大循环、多线程和免除问题。
14.3 RU5
网络防护技术
增强了对勒索软件系列(如 Conti、Avoslocker 和 Hive)的网络防护。
改进了针对勒索软件攻击中所使用的勒索软件前期工具的网络检测和防护。
改进了网络检测和防护,可防范勒索软件攻击中所使用的初始访问和横向移动技术。
行为防护
改进了常规勒索软件 BPE 检测,以减少大循环、多线程和免除问题。
14.3 RU4
网络防护技术
增强了对勒索软件系列(如 Conti、Avoslocker 和 Hive)的网络防护。
改进了针对勒索软件攻击中所使用的勒索软件前期工具的网络检测和防护。
改进了网络检测和防护,可防范勒索软件攻击中所使用的初始访问和横向移动技术。
文件检查技术
通过分析提供强大的保护,限制恶意软件操作者滥用 Red Team 工具。
创建了另外两个命令行子扫描程序(wbadmin.exe 和 wevtutil.exe)以改进勒索软件前期活动检测。
改进了宏文件感染者的修复能力。
改进了对 PowerPoint 威胁的宏提取支持。
行为防护
改进了对基于 Python 的勒索软件的静态和行为检测。
针对 Conti 等勒索软件系列实现了 DLL 格式的 BASH 内存扫描。Conti 勒索软件会在内存中加载加密 DLL,然后执行。
通过创建四个新的命令行子扫描程序和多个新检测,改进了黑客工具和 LOLBin 的勒索软件前期活动检测。LOLBin 是一种复杂的威胁,需要使用高级工具才能检测到它们。
改进了对 Emotet 垃圾邮件活动的启发式和 AMSI 检测评分。
通过 SONAR 行为策略强制执行 (BPE) 强化了内存扫描,以应对 Cobalt Strike 采用的进程注入技术。
14.3 RU3
网络防护技术
检测在目标性勒索软件攻击中使用的可疑进程链。
遥测增强功能,可在勒索软件或勒索软件前期工具影响新的客户端计算机时发送警报。
防范 Cobalt Strike 漏洞利用后续操作和横向移动。
防范高度普及的恶意软件,如 IcedID。
文件检查技术
通过反恶意程序扫描接口 (AMSI) 对 Office Open XML (OOXML)、Windows Management Instrumentation (WMI)、dotnet 和 XLM 进行加密防护。
Microsoft PowerShell 模拟启发式改进,使用 AMSI 禁用技术来检测恶意软件。
增强了命令行启发式功能,可防范勒索软件和 Cobalt Strike 黑客入侵工具。
添加了 PE 模拟器扫描后支持,以利用垃圾循环和反模拟技巧来改进恶意软件检测。
Visual Basic (VB) 和 dotnet 模拟器增强功能,可防范 Mass Logger、FormBook 和 Agent Tesla 等恶意软件。
实施了 Microsoft Office 扫描程序来检测 VBA stomping 和非 PE 植入程序(如 Hancitor)。
添加了通用分析程序,可支持 Microsoft Publisher 和 Microsoft Access 文件的 VBA 提取和模拟。
增强了 AMSI 和脚本模拟字符串扫描,可识别和补救 LotL 恶意软件(如 IsErIk)。
行为防护
通过去除对 lsass.exe 的读取访问权限,增强了凭据盗窃防护。
通过在对可信进程触发勒索软件检测时锁定文件写入访问权限,增强了勒索软件防护。
增强了对父进程欺骗技术的过程跟踪。
通过将主线程的进入点地址与从磁盘文件解析的进入点地址进行比较,来检测进程镂空技术。
检测已挂起的进程创建。
对 Ryuk、REvil/Sodinokibi、Conti、Darkside、Burglar 和 Lorenz 等众所周知的勒索软件进行行为检测。
利用文件重命名事件的新属性进行常规勒索软件预加密行为检测和后加密检测。
对 Cobalt Strike 漏洞利用后续操作和横向移动进行行为检测,并对 Cobalt Strike 信标进行内存检测。
在进程句柄打开时使用 SetThreadContext 函数和权限标志对 DLL 刷新和进程注入技术进行行为检测。
对 Microsoft Office Excel 和 Microsoft Office PowerPoint 威胁进行行为检测。
Symantec Endpoint Detection and Response (SEDR) 可见性,可将一些 BPE 检测转换为高级攻击技术 (AAT)。
针对 LoLBin 的新 ACM 事件。

官方原文
https://techdocs.broadcom.com/cn ... the-land-tools.html

由此可见,早在14.3的RU版本开始,SEP Windows 客户端的安全功能更新,也已经跟MD差不多,每个RU版本都在强化防勒索功能以及行为分析等安全功能,但是并没有大力宣传,也没有在版本更新中有完整描述,只是在勒索软件防护的新功能日志中,有对安全技术更新的部分描述。

现在看来,SEP还是有在慢吞吞更新安全规则的,只是没有重磅新功能,都是修修补补的小维护更新。

另外值得一提的是Norton的SONAR架构加载模块BHClient.dll和BHSvcPlg.dll一直是亘古不变的12.1.XX版本,而现在最新的SEP 14.3 RU9的BHClient.dll和BHSvcPlg.dll这两个SONAR架构加载模块是12.9版本,没有新的架构加载模块,就算特征库的SONAR引擎也是12.9版本,依然无法调用新版本的功能,只有存在对应版本的加载模块才能发挥新版本引擎中的新功能参数。

没想到啊,实在是没想到,SEP跟Norton差别越来越大,搞不懂那些资本,把Symantec技术卖掉,买个avast技术是干啥?卖媳妇买猴就是玩吗?

PS:最近应该会忙起来,再加上业余时间要追追国漫,玩玩星穹铁道,所以我不太可能有时间安装SEP 14.3 RU9来发实际体验报告,但如果有什么有趣的事情,我还是会在有时间的时候,发个帖子跟大家分享一下。

hansyu
发表于 2024-6-24 23:56:53 | 显示全部楼层
其实Gen还有Avira可用,不知道为什么没选Avira,估计是小bug太多不够稳定。
驭龙
 楼主| 发表于 2024-6-24 23:59:05 | 显示全部楼层
hansyu 发表于 2024-6-24 23:56
其实Gen还有Avira可用,不知道为什么没选Avira,估计是小bug太多不够稳定。

对啊,我也奇怪为什么gen不用Avira的EP架构,那个是真的相当不错,可惜啊
pal家族
发表于 2024-6-25 00:18:32 | 显示全部楼层
可惜的是sep真的很难用
驭龙
 楼主| 发表于 2024-6-25 00:23:16 | 显示全部楼层
pal家族 发表于 2024-6-25 00:18
可惜的是sep真的很难用

所以我买了正版的Norton,现在非常后悔,有那闲钱,还不如开星穹铁道的云畅玩卡,现在只能吃灰
GalaxyS24Ultra
头像被屏蔽
发表于 2024-6-25 11:29:36 | 显示全部楼层
驭龙 发表于 2024-6-25 00:23
所以我买了正版的Norton,现在非常后悔,有那闲钱,还不如开星穹铁道的云畅玩卡,现在只能吃灰

星穹铁道666666,好无聊的回合制
我的结论是,国外杀毒软件是玩的,国内杀毒软件才是用的
Miostartos
发表于 2024-6-25 11:33:08 | 显示全部楼层
hansyu 发表于 2024-6-24 23:56
其实Gen还有Avira可用,不知道为什么没选Avira,估计是小bug太多不够稳定。

大概是因为avast有成熟的换皮经验吧
而且Avira本身相比avast还是缺一点功能的
微信
发表于 2024-6-25 13:40:39 | 显示全部楼层
Miostartos 发表于 2024-6-25 11:33
大概是因为avast有成熟的换皮经验吧
而且Avira本身相比avast还是缺一点功能的

有道理,阿瓦斯特确实有成熟的给AVG换皮的经验
IamAngry
发表于 2024-6-25 14:14:42 | 显示全部楼层
最看不懂的就是Avira的安排,现在Avira个人版整个就摆了,OEM倒是越来越多。目前看来也在做各种技术演进,包括APC检测脚本,和sentry融合等等。
但是Gen好像就当没有收购过这个公司一样
pal家族
发表于 2024-6-25 14:22:20 | 显示全部楼层
IamAngry 发表于 2024-6-25 14:14
最看不懂的就是Avira的安排,现在Avira个人版整个就摆了,OEM倒是越来越多。目前看来也在做各种技术演进, ...

红伞的UI做的太差了 和jm吃饱一样。感觉是小作坊级的。
难看难用就算了,打卡还卡,转半天才显示。大家都是网页UI,小a就快很多啊。。。
ESET那种极简风格UI不也挺好的,好看又简单。。。。有什么开发难度吗?
红伞和小a现在是一个级别的了、以前红伞是一流小a时二流。现在都是二流。
诺顿摆烂也是二流。AVG查无此人。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:29 , Processed in 0.134980 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表