本帖最后由 驭龙 于 2024-8-2 19:23 编辑
前言:
大概是Sophos刚刚发布Sophos Home的beta版本时,我曾经体验过一次SH(本帖后续以SH代表Sophos Home),但那时候体验特别糟糕,时隔多年,我这几天没啥干,就回来折腾一圈安全软件,昨天还折腾了FSP 19.6 BETA版本,那版本没啥说的,昨晚我就卸载了,所以昨晚想起好久没玩的SH了,这次就来体验一下SH,因为七八年没接触Sophos了,这次我算是以不了解Sophos的情况下,来体验SH,所以有什么错误和不对的地方,请喜欢Sophos的各位朋友见谅!
废话不多说了,现在就开始体验SH,中文名我称之为【家庭守护使】
第一阶段,初步体验家庭守护使
虽然守护使Sophos企业版有中文网站,但是SH也就是个人版是没有中文网站的,所以登录的是
https://home.sophos.com/en-us
免费试用,可以获得三十天的试用期,安装包是下载器,安装完成,一个Email地址,就可以注册SH的账户,由于之前没准备发帖,安装过程没有截图,因此跳过安装和注册过程。
本地安装SH以后,选择新用户,就可以注册新的SH账户,默认给三十天试用期,使用本地注册的账户,登录
https://my.sophos.com/en-us/login/
完成登录以后,会跳转到https://cloud.sophos.com/manage/home/dashboard
即可对本地的SH进行管理,以及远程控制本地SH的设置。我这边无法自动跳转,只能手动调整地址。
SH是个云管理的安全产品,因此本地几乎没有设置选项,系统托盘都没有右键菜单,界面也没有什么操作性。
点击仪表盘,会启动WSC认证窗口,输入本地Windows的信息,SH会开启浏览器,直接跳转到SH云端的控制台,也就是上面的那个管理地址。
点击UI界面的帮助,会有本地的更新检测和自我保护以及可执行程序的文件排除功能,这是本地仅有的设置选项。
进入网页版仪表盘的界面,有对最新本地事件的日志,右侧有显示高级选项,可以对发现的威胁进行允许或者还原选项。
选择防护选项卡,进入的是通用设置,其中包括实时文件监控,恶意流量检测,AI机器学习检测,AMSI防护(抵御无文件和脚本攻击),游戏检测,任务计划扫描(默认关闭),排除扫描等功能。
进入利用选项卡,可以看到SH的高级保护功能,也就是漏洞利用缓解(实际上就是HMPA),风险减少,应用程序防护,动态shellcode防护,AMSI注册防护,CTF护卫。
漏洞利用缓解,可以看作是HMPA的各种功能。
风险减少,也是HMPA提供的功能。
接下来是勒索软件选项卡,其中有阻止勒索软件启动功能,以及MBR防护(引导区防护)。
紧接着是Web选项卡,提供了web防护,网站排除,下载信誉,网上银行安全浏览,HTTPS网站解密(也就是HTTPS扫描)。
SH默认没有开启HTTPS解密扫描,是我自己开启的功能。
然后是WEB筛选,实际上就是类似于家长控制,可以设置阻止访问的网站类型,家有小孩子的话这功能很实用,但成年人不需要这功能。
隐私,就是摄像头访问控制,有什么程序调用摄像头会被检测,依托于HMPA的功能。
网页管理上的设置基本上就是这些了,接下来就简单说一些杂谈。
HMPA功能阻止程序运行以后,SH会出现锁屏的安全提示。
SH本身发现威胁,会在右下角系统托盘上方显示安全提醒,以及威胁信息。
实时监控的威胁信息提醒。
SH发现威胁以后会触发SophosCleanup.exe程序的清除流程,也就是扫描注册表以及关键位置,完成流程,才会完全删除被检测的威胁。(在样本区痛不欲生,每次检测到样本都触发清理流程,电脑会变卡)
SophosCleanup会在C:\ProgramData\Sophos\Clean\Logs位置生成清除日志,每发现一个威胁就会有一个对应的清除日志,日志+时间就是清除日志的名字。
其中Clean日志是记录全部清除威胁的日志集合,但没有每个清除流程的完整记录,而是对清除文件的总记录日志。
SophosCleanup.exe完成清理流程,SH会提醒威胁被移除,之前是威胁被阻止,现在是被移除。
SH监控发现威胁会先提示阻止威胁,SophosCleanup完成清理流程,SH就会提示威胁被移除。(SH的进程好多啊,我都看晕了,算上HMPA进程,应该是12个进程了吧)
简单的用任务管理器结束一下SED核心组件的进程,任务管理器无法结束,比隔壁某S(不是Symantec)好一点。
23H2系统就不使用PCHunter测试了,简单的用Sysinternals Suite中的进程资源管理器PE再测一下SH自保。
SED核心进程无法被结束。
SH用户进程,也就是系统托盘进程,也无法被结束。
系统关系,我就不折腾PC Hunter了,所以对SH的自保测试,仅图一乐就好,不要当真,仅供参考。
另外,SH是通过SEDService.exe使用AM-PPL技术注册WSC的,当然这是Microsoft强制要求使用PPL技术注册WSC的。
第二阶段,窥探家庭守护使架构(上)
SH与ESET那种DLL功能模块化的架构不同,也与MD那种统一功能平台架构不同,SH使用的是软件化组件架构,简单的来说,SH整体软件由多个软件组件构成,各组件分工明确又有联动效果,这种架构是好是坏,优点是软件架构稳定,各个功能组件互不干扰,遇到BUG也不至于整个SH崩溃。缺点是进程多,占用资源大。
先说第一个组件HitmanPro.Alert
位于C:\Program Files (x86)\HitmanPro.Alert文件夹,虽然被分配在X86的程序文件位置,但通过系统的任务管理器可以发现未被标记为32位文件。
HMPA的核心支持库hmpalert.dll,也就是全局注入用户进程的模块,位于
C:\Windows\System32\hmpalert.dll
既然已经来到System32位置,那就看一下SH的驱动情况吧,SH有四个驱动,分别是HMPAlert的HitmanPro.Alert Support Driver驱动(hmpalert.sys),Sophos端点防御的Sophos Endpoint Defense Mini-Filter Driver驱动(SophosED.sys),Sophos网络威胁防护的Sophos Network Threat Protection驱动(SNTP.sys),以及Sophos使用ELAM技术的Early Launch Antimalware (ELAM) drivers驱动(SophosEL.sys)这就是SH的全部驱动,关于这些驱动的具体详解,以后有缘再说吧,不准备深度解读。
虽然SH有四个驱动,但因为SophosEL是ELAM驱动,所以常驻的驱动只有SophosED和SNTP以及hmpalert三个驱动。
位于C:\Program Files (x86)\位置的Sophos文件夹下有四个SH组件,但AutoUpdate组件(假)实际上不在X86位置,所以C:\Program Files (x86)\下的SH只有Sophos Home用户UI组件,Sophos Health(健康状态)组件,以及Management Communications System(管理通信系统)组件。
SophosHealth组件是负责SH健康报告的程序,它会检测本地Sophos所有组件和程序的运行状态以及配置信息是否与控制台分配的一致,是否有程序运行状态处于非正常的设置。
Sophos Home自然是SH的用户界面,SH与用户的交互操作和消息通知,以及系统托盘和用户界面的提供者。
Management Communications System组件参与运行的进程分别是Sophos MCS Client Service(MCSClient.exe)负责对云端控制台发出的消息进行响应以及反馈消息。
Sophos MCS Agent Service(MCSAgent.exe)负责的是SED核心组件的适配,也就是区分本地SED组件是以Sophos企业版运行还是以Sophos Home运行。
SH的真正核心组件都在C:\Program Files\Sophos文件夹内,AutoUpdate自动更新组件也在这里(真),不算AU组件,SH在C:\Program Files\Sophos有九个组件,总计有212MB的大小。
接下来逐一说一下,SH各个组件的大致功能*(可能有错误,不保证准确性),先是Sophos Diagnostic Utility守护使诊断实用程序,收集Sophos和系统信息,对Sophos出现的问题进行诊断和信息收集并且反馈给Sophos的组件。
Sophos AMSI Protection组件,不需要多做介绍了,是使用微软AMSI技术,检测脚本和无文件攻击的组件。
SophosAmsiProvider.dll是会注入用户运行的应用程序中监控脚本和无文件攻击的核心模块。
而这Home Clean组件是SH个人版附加的清除功能(清除个别类型的威胁使用)。
Sophos Endpoint Agent组件是卸载整个Sophos产品的卸载程序。
AutoUpdate自动更新组件,负责SH产品自动更新,但是实际上SH自动更新的执行程序,不在该位置。
现在来说SH的主要组件,先说Sophos File Scanner组件,听名字就知道是守护使文件扫描器组件,也就是负责文件监控的核心组件。
Sophos File Scanner分为SophosFS服务和SophosFileScanner服务,系统启动以后先是SophosFS启动一个Sophos File Scanner服务,该服务为完整系统权限,该完整权限的SFS服务会在启动一个系统权限等级low的Sophos File Scanner服务。
Sophos File Scanner低权限服务会加载另外Sophos ML Engine和Sophos Standalone Engine两大组件的引擎,来完成文件监控,SFS服务加载了Sophos ML Engine三个ML机器学习引擎模块中的主ML模块和ML PE模块。
但是SFS服务没有加载Sophos ML Engine的第三个ML模块,也就是文档ML模块引擎,所以推测文档ML引擎不参与文件监控,而是在其他需要时触发。
C:\Program Files\Sophos\Sophos ML Engine\ML1下扫描文件夹的Sophos 反病毒ML引擎模块。
文档ML引擎模块。
位于C:\Program Files\Sophos\Sophos ML Engine\ML1文件夹下分为三个ML引擎,分别是文档模块,扫描模块,以及Telemetry遥测模块,其中遥测模块就是ML引擎的PE模块,因为是遥测所以才与扫描模块分开,成为独立的ML引擎模块。
由于SH的组件有一点多,所以探秘SH软件架构分为两部分,不然我真的一口气写不完,所以我将窥探家庭守护使架构分为上下两篇,现在上篇,到此结束。
第三阶段,窥探家庭守护使架构(下)
现在开始更新家庭守护使软件架构的下篇内容,上篇中提到了SophosFS服务中的低权限进程Sophos File Scanner加载了ML引擎模块,但并没有说完,实际上Sophos File Scanner还加载了Sophos Standalone Engine组件的Sophos独立脱机引擎中的引擎接口SAVI.DLL也就是Sophos本地AV引擎核心。(其他模块后续内容会进一步介绍。)
位于C:\Program Files\Sophos\Sophos Standalone Engine\engine1\data\一串数字的文件夹,就是Sophos Standalone Engine的本地特征库,数据量非常迷你,二百多个特征库文件,才18.5MB
Sophos本地特征库有两种格式,分别是IDE与VDB,其中VDB格式的特征库没有天天更新应该是与引擎相关的主特征库,与引擎一起进行更新,或者类似于MD的基础库,定期进行合并更新。
IDE格式的特征库就是天天更新的特征库,猜测类似于MD的那种增量更新(以上内容仅供参考,后续进一步确认。)
接下来说的是关于MTD和IPS两大网络安全功能的提供者,Sophos Network Threat Protection组件了。
SNTP组件还使用IOAV技术进行下载文件的扫描,实际上IOAV是注入Office进程检测文档的技术,也可用于浏览器下载文件的监控。
乍一看,SNTP的大部分组件是IPS的,但SH作为个人版是否启用完整的IPS,我先卖个关子,按下不表,在后续内容中会进一步探讨IPS在个人版SH中是否完整启用。
不得不说SNTP组件的IPS Dynamic Preprocessors也就是IPS动态预处理模块,支持的网络协议还是不少的,这是真让人惊讶。
根据Notice.SophosIPS的协议,Sophos的IPS是使用了开源的Snort IPS技术,这是一款开源IPS技术。
SH个人版并没有启用SNTP组件下的SophosIPS服务进程,而是以SophosNtpService服务进程和SophosNetFilter进程为MTD恶意流量检测功能提供支持。
SophosNtpService服务还加载了可以解密特征库数据,并且提供AV技术支持的Sophos Anti-Virus Sophtainer library DLL(sophtlib,dll),以此提供MTD的功能。
值得一提的是Sophos Anti-Virus Sophtainer library DLL实际上也是一个AV引擎组件,负责很多安全功能哟。
现在来说Endpoint Defense组件了,这就是Sophos企业版也在使用的AV核心,它是负责绝大部分安全功能和系统防御的核心组件。
Endpoint Defense有两个进程分别是SEDService和SSPService进程。
SEDService不单单为Sophos提供WSC注册,还具有SED日志记录,以及设置分配等核心功能。
SSPService为Sophos System Protection Service服务,也就是Sophos 系统防护服务,它不但加载了Sophos Anti-Virus Sophtainer library DLL引擎,还加载了SNTP组件的Sophos IPS Nanoservice模块,以及AMSI防护模块,SSPService是负责除了文件监控之外其他大部分安全功能的核心,也就是说它才是SH为系统提供保护的核心程序。
我吐槽一句,Sophos Home不算HMPA进程,也还有11个进程,这是不是有一点太多了。
其中Sophos File Scanner低权限进程和SSPService进程,这两个负责安全功能的家伙,占用资源真的不小,但是它们负责的就是安全功能,也就是SH体系中至关重要的进程。
前面的内容中,简单使用任务管理器和SS工具中的进程资源管理器,简单测了一下SH在23H2系统上的自保情况,看上去好像还行。
有饭友觉得这自保测试太简单,所以我想起正常支持23H2内核隔离模式的AntiRootkit工具,也就是安天系统深度分析工具-ATool。
使用Atool的终止功能,可以任意结束SH的全部进程,即便是拥有PPL技术的SEDService进程也无法幸免于难,这还是没有动用Atool暴力终止命令的情况下,就全军覆没了,但是SH进程过一会儿,会自己复活,重启进程,但是系统托盘不会复活。
下一阶段的内容可能不会是大篇幅更新,而是开始探秘Sophos背后的内容,比如说SH是否启用完整IPS,SED的技术怎么样,Sophos有那些常见的安全技术功能,等等话题的讨论!
第四阶段,家庭守护使之我没有IPS完整功能
在之前的阶段中,笔者已经简单而粗浅的介绍了SH各个组件的大致作用以及负责的功能,上一阶段里,笔者把SH的安全功能之一IPS入侵防御系统是否启用,卖了个关子,这是因为说到IPS功能,需要不小的篇幅,虽然图片不多,但也需要笔者付出不少时间来写内容。
首先SH作为个人版产品,并没有说SH具备IPS功能,不过由于SH本身依托于Sophos Endpoint Defense架构,官方SH更新日志已经明确架构是商业版组件。
Sophos Home for Windows
This article shows fixes added to the Sophos Home for Windows version 2023.2 released on April 18, 2024.
Available for Windows 10 64bit and above, this update will be automatically applied.
Fixes / Improvements
Updated Sophos Home with 2023.2 business components.
Cookies will no longer be deleted after or during scans as part of the work required to align Sophos Home with the Sophos Business product.
Improved overall product security.
Added a link to subscription management to the Dashboard.
Fixed an issue where devices were not being removed from the Dashboard after uninstalling Sophos Home.
Note: Upon completion of the release, fixes and improvements will start rolling in the backend and will finish applying by May 1st 2024.
所以,SH是完全具备启用IPS功能基本条件的,加上笔者在上一阶段中的介绍,SNTP组件中是却有IPS组件和功能的,那么,在SH版本上是否启用了IPS组件功能呢?
按照Sophos Network Threat Protection组件,位于C:\ProgramData\Sophos\Sophos Network Threat Protection\Logs\文件夹下的SntpService.log日志中记载。
SH是没有启用IPS的完整功能,甚至是可以说SH的IPS功能是完全禁用的状态,参考如下日志事件。
2024-07-28T03:42:38.111Z [ 4276: 5392] A Network Perimeter: mtd_enabled is enabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A Network Perimeter: c2_detection_enabled is enabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A Network Perimeter: mtd_connection_tracking is enabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A Network Perimeter: self_isolation_enabled is disabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A Network Perimeter: intrusion_prevention_system_enabled is disabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A ModernWeb: https_decrypt_enabled is enabled
2024-07-28T03:42:38.112Z [ 4276: 5392] A ModernWeb: web_filtering_enabled is enabled
2024-07-28T03:42:38.113Z [ 4276: 5392] A ModernWeb: web_scanning_enabled is enabled
2024-07-28T03:42:38.334Z [ 4276: 5392] A Updated policy, MTD overall: Enabled, C2 detections: Enabled, connection tracking: Enabled, self isolation: Disabled, ips: Disabled, web: Enabled, protection: Enabled, mdr-only: Disabled
2024-07-28T03:42:38.334Z [ 4276: 5392] A Process is ready to start. Will start immediately
2024-07-28T03:42:38.704Z [ 4276: 5392] A Recalculating isolation: Self isolated: False, Admin isolated: False
2024-07-28T03:42:38.710Z [ 4276: 5392] A Recalculating isolation: Self isolated: False, Admin isolated: False
2024-07-28T03:42:38.711Z [ 4276: 5392] A Service is now in the RUNNING state
2024-07-28T03:42:40.639Z [ 4276: 5600] A Feature flag 'ips.available' is not enabled
在加上注册表中管理策略的键值
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Management\Policy\NetworkPerimeter\xxxxxxxxxxxxxxxxxx(时间码)
intrusion_prevention_system_enabled项的数据值是0,所以通过以上信息,可百分百确定Sophos Home是没有启用SED的IPS完整功能。
在之前的内容中有说SSPService服务是有加载Sophos IPS Nanoservice模块,可SH没有启用IPS,为什么SSPService服务会加载Sophos IPS Nanoservice模块呢?
Sophos IPS Nanoservice是为SSPService提供Sonrt检测技术支持的服务,因为在SNTP架构中有一个名为SXL4的功能,snort为此功能提供检测和同步端口服务。
什么是SXL4技术呢?这功能实际上是非常强力的Sophos功能,以下为官方对SXL4功能的介绍:
Block access to malicious websites
This setting denies access to websites that are known to host malware.
We do a reputation check to see if the site is known to host malicious content (SXL4 lookup). If you turn off Live Protection, you're also turning off this check.
HTTP connections: All URLs are checked, including full HTTP GET requests.
HTTPS connections: Base URLs are checked (SNI). If you turn on Decrypt websites using SSL/TLS, all URLs are checked, including full HTTP GET requests.
现在已经明白为什么Sophos Home没有开启IPS功能,SSPService服务却会加载Sophos IPS Nanoservice模块了。
虽然SH没有启用IPS功能,但是,还是要简单说一些SH个人版中SED Client的IPS功能。
注册表位置计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Sophos Network Threat Protection\Application
提供了SNTP组件加载和连接IPS特征库和策略位置。
C:\ProgramData\Sophos\Sophos Network Threat Protection\IPS\XXXXXXXX(版本创建日期).ips
以此获得IPS的System.Rules也就是系统规则,通过记事本打开规则,可以看到明文的IPS特征码。
笔者简单计算一下,System.Rules内截至目前2024年7月23日版本,包含426条IPS特征码,怎么说呢?如果你想用Sophos企业版的IPS来成为Norton IPS的替代品,那就完全没必要了,Norton IPS功能,目前没有下位替代者,更没有与之比肩的IPS功能。
注:笔者暂时没有安装Sophos完整的企业版 client,并不确定SED上的IPS特征库情况,因此以上内容仅供参考,仅是以SH个人版本地情况做出分析,不代表SED Client的情况。
明天会更新关于SH本地确认的已开启功能,以及SH云控制台中没有描述的功能,当然,本帖已经提供相关注册表位置,心急的饭友可以提前自行查看相关注册表键值。
第五阶段,家庭守护使本地功能探秘
笔者原本打算继续更新到第八阶段,但是,笔者的电脑太差,使用SH太卡,笔者被卡的想砸电脑,因此,笔者决定更新到第六阶段就结束本帖,还望饭友们见谅,之前上面说的驱动功能分析也决定取消,这第五阶段就来说说SH本地被启用的功能究竟有那些,以及隐藏的功能。
要想知道SH在本地可用什么功能,以及启用什么功能,需要定位注册表位置:
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\EndpointFlags
在EndpointFlags位置下,标记了SED各种功能在本地可用和启用情况
如下注册表键值,就是SH在本地可用和启用的功能信息:
- "amsi.available"=dword:00000001
- "amsi.block-and-clean.enabled"=dword:00000001
- "amsi.fastregex.available"=dword:00000001
- "amsi.pseudohandle.enabled"=dword:00000001
- "behavioral-blocking.available"=dword:00000001
- "behavioral-silent.available"=dword:00000001
- "behavioral.bms.enabled"=dword:00000001
- "dns-sniffing.enabled"=dword:00000000
- "home.product"=dword:00000001
- "ips.available"=dword:00000000
- "livequery.network-tables.available"=dword:00000000
- "mcs.v2.push.available"=dword:00000000
- "mcs.v2.responses.available"=dword:00000000
- "modernweb.domainlookup.enabled"=dword:00000000
- "modernweb.intelixupload.enabled"=dword:00000000
- "modernweb.offloading.enabled"=dword:00000001
- "repair.available"=dword:00000000
- "sau.sdds3-delta-versioning.enabled"=dword:00000001
- "sav.hips.disabled"=dword:00000001
- "sdds3.ready"=dword:00000001
- "ssp-clean.enabled"=dword:00000001
- "ssp.appc.reporting.available"=dword:00000001
- "ssp.clear-historian-db-file.enabled"=dword:00000001
- "ssp.convert-kernel-paths.enabled"=dword:00000001
- "ssp.customer-allowed-non-pe-telemetry.enabled"=dword:00000001
- "ssp.devicecontrol.always-set-instanceid-in-events.enabled"=dword:00000001
- "ssp.generate-crash-dumps-on-abort"=dword:00000000
- "ssp.inner-file-telemetry.enabled"=dword:00000001
- "ssp.inner-vdl-telemetry.enabled"=dword:00000001
- "ssp.instant-core-clean-items.available"=dword:00000001
- "ssp.lua.jit.enabled"=dword:00000001
- "ssp.multiplefilesubmission.available"=dword:00000001
- "ssp.non-pe-telemetry.enabled"=dword:00000001
- "ssp.opportunistic_sxl4_batching.enabled"=dword:00000001
- "ssp.rawscanresults-journaling.disabled"=dword:00000001
- "ssp.report-posture-change.enabled"=dword:00000001
- "ssp.static.postanalysis.available"=dword:00000001
- "ssp.submitfilemetadata.available"=dword:00000001
- "ssp.sxl4.extended.enabled"=dword:00000001
- "ssp.sxl4.latency_check.enabled"=dword:00000001
- "ssp.sxl4.lookup-url-from-policy.available"=dword:00000000
- "ssp.verify-behave-signature.enabled"=dword:00000001
- "sting20-pe.enabled"=dword:00000001
- "xdr.enabled"=dword:00000000
- "ztna.available"=dword:00000000
因为太长,笔者删除一部分信息,完整信息如下附件
这里笔者说一下笔者比较感兴趣的功能
"behavioral-blocking.available"=dword:00000001
行为阻止也就是BB,这是Sophos自研的行为监控功能,遵照flags信息,SH是在本地可用BB功能。
"behavioral-silent.available"=dword:00000001
这个功能代表着Sophos的行为分析是以沉默方式,可用的本地功能。
"behavioral.bms.enabled"=dword:00000001
这条功能代表,行为分析启用了后台内存扫描技术,也就是内存被BB监控,属于内存监控。
"ips.available"=dword:00000000
本条功能在之前已经说过了,SH本地没有可用的完整IPS功能,这就是源头。
"sav.hips.disabled"=dword:00000001
十几年前的远古Sophos就有HIPS了,可惜这里显示SAV下属的HIPS是被Disabled的,这倒是比较遗憾了。
"ssp.sxl4.extended.enabled"=dword:00000001
"ssp.sxl4.latency_check.enabled"=dword:00000001
这两个SSPService负责的SXL4功能,一个是扩展功能,一个是延迟检查,处于开启状态,这个比较赞了。
虽然flags位置标记和可用功能,但想确认是否真的启用已可用的功能,就需要去其他位置,毕竟有很多功能只有可用,并没有显示是否开启。
因此,需要定位到新的位置,首先是TP威胁防护组件的注册表位置:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Management\Policy\ThreatProtection\20240728034223640104(时间值)
具体功能启用的列表如下:
- "active_adversary_mitigation_enabled"=dword:00000001
- "aggressive_activity_classification_enabled"=dword:00000000
- "aggressive_email_scan_enabled"=dword:00000000
- "background_memory_scanning_enabled"=dword:00000001
- "background_scanning_enabled"=dword:00000000
- "behaviour_detection_enabled"=dword:00000001
- "blocklist_sha256"=hex(7):00,00
- "event_journals_enabled"=dword:00000001
- "machine_learning_detection_level"="default"
- "machine_learning_enabled"=dword:00000001
- "malware_detection_enabled"=dword:00000001
- "monitor_mode_enabled"=dword:00000000
- "on_access_auto_exclusions_enabled"=dword:00000000
- "on_access_exclude_remote_files"=dword:00000000
- "on_access_excluded_file_paths"=hex(7):00,00
- "on_access_excluded_process_paths"=hex(7):00,00
- "on_access_scan_enabled"=dword:00000001
- "on_demand_exclude_remote_files"=dword:00000000
- "on_demand_excluded_file_paths"=hex(7):00,00
- "on_demand_excluded_process_paths"=hex(7):00,00
- "on_execute_scan_enabled"=dword:00000001
- "on_read_scan_enabled"=dword:00000001
- "on_write_scan_enabled"=dword:00000001
- "pua_authorizations"=hex(7):00,00
- "pua_protection_enabled"=dword:00000001
- "sample_upload_uri"="http://localhost:9074"
- "skip_trusted_installers_enabled"=dword:00000000
- "sxl4_minimum_ttl"=dword:00000000
还记得上面的BB可用吗?现在通过
"behaviour_detection_enabled"=dword:00000001
可以确认BB功能在本地是真实启用的,这在SH云端控制台是看不到相关信息的。
"background_memory_scanning_enabled"=dword:00000001
上面说的behaviour bms在这里可以看出是后台内存扫描。
"background_scanning_enabled"=dword:00000000
不知为何后台扫描没有被启用,可能是为了性能吧,毕竟BMS已经启用。
"machine_learning_detection_level"="default"
"machine_learning_enabled"=dword:00000001
ML机器学习必然是启用的,只是ML的检测等级是默认级。
"active_adversary_mitigation_enabled"=dword:00000001
没想到在SH上也启用了Active Adversary Mitigations,也就是主动攻击缓解功能,参考官方企业版Intercept X的介绍,该功能十分强大。
Sophos Central Intercept X active adversary mitigations are turned on as a default setting to provide the best possible protection. You may see additional detections for the following mitigations:
APC violation
Credential Theft
Privilege Escalation
Code Cave
These detections are for modern exploit techniques used by third parties to gain malicious access to computers, and we recommend that you protect against them.
接下来我们再看看SNTP组件功能开启情况,需要定位的位置:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Management\Policy\NetworkPerimeter\20240728034220696379(时间值)
SNTP组件功能开启状态如下:
- "c2_detection_enabled"=dword:00000001
- "certificate_renewal_switch_days_after"=dword:00000004
- "certificate_renewal_trigger_days_before"=dword:0000005a
- "heartbeat_additional_destinations"=hex(7):00,00
- "heartbeat_destination_address"="52.5.76.173"
- "heartbeat_destination_port"=dword:0000209b
- "heartbeat_enabled"=dword:00000000
- "heartbeat_exclude_dns_server"=dword:00000001
- "heartbeat_exclusions"=hex(7):00,00
- "intrusion_prevention_system_enabled"=dword:00000000
- "mtd_connection_tracking"=dword:00000001
- "mtd_enabled"=dword:00000001
- "quic_protocol_blocking_enabled"=dword:00000000
- "self_isolation_enabled"=dword:00000000
- "stonewalling_enabled"=dword:00000000
- "stonewalling_exclusions"=hex(7):00,00
- "ztna_enabled"=dword:00000000
"c2_detection_enabled"=dword:00000001
其中C2检测功能是开启的,这是SH仅剩的一点点类似于IPS功能了,笔者之前一直说SH没有完整IPS功能,就是因为C2检测的存在,所以笔者才没说SH完全没有IPS的,毕竟C2检测本身也是一种入侵检测。
而且C2被触发以后还会触发AAP功能,这功能在第六阶段再详细说明。
"intrusion_prevention_system_enabled"=dword:00000000
正因为这条策略,导致SH与IPS无缘了。
"mtd_connection_tracking"=dword:00000001
"mtd_enabled"=dword:00000001
恶意流量检测MTD是启用的,SH云控制台就可以控制,但我没想到MTD的连接跟踪功能也启用了。
剩余其他组件的情况,笔者就不逐一说明了,那些大多数是非安全功能,所以本阶段到这里就差不多要结束了,通过以上信息,我们可以知道SH在本地是有启用一些没有在SH控制台显示的功能,其中不乏强大的安全功能,这也是Sophos比较大方的地方了,只是可惜SH暂时没有开启IPS功能,还是比较遗憾的事情。
第六阶段,AAP进化之路+总结
虽然本帖的篇幅已经超长了,但是笔者还是有很多很多内容想说,无奈笔者不想安装Sophos企业版,因此,很多内容无法继续下去,加之SH个人版在笔者的电脑上卡到起飞,笔者已卸载SH,所以本次的探秘家庭守护使的帖子,在这里接近尾声,最后再说几个大家比较感兴趣的话题和一点笔者的总结。
大家已经听说过Sophos企业版有一个AAP功能了,那它究竟是何方神圣呢?亦或者是何方妖孽呢?
在2023年3月22日,Sophos发布SEDS新创造的公告中提及了AAAP功能,也就是Adaptive Active Adversary Protection,被称为自适应主动攻击者保护。
We’re constantly developing new protection techniques to guard our customers against the latest attacks. One of the latest additions to Sophos Endpoint security is Adaptive Active Adversary Protection. This new capability from SophosLabs is automatically activated whenever we detect signs that a device has been compromised and there is a hands-on-keyboard attack in progress.
Adaptive Active Adversary Protection temporarily puts the impacted device into a more aggressive security mode that disrupts and delays the attacker by automatically blocking a wide range of activities that are commonly performed in human-led attacks. Just a few examples of the malicious behaviors that we prevent include:
Attempts to run remote admin tools
Attempts to run untrusted executables
Attempts to boot the machine in Safe Mode
Plus many, many more…
By stopping a malicious actor from performing these activities, Adaptive Active Adversary Protection slows the attack and buys time for security teams to respond to the threat before the adversary can achieve their goal. Once there are no further signs of adversary activity on the device, Adaptive Active Adversary Protection is turned off automatically. No manual enablement or tuning required!
按照官方的描述,在安装SEDS的client上出现以下操作,就会触发AAAP(笔者没有打错,是AAAP)功能:
尝试运行远程管理工具
尝试运行不受信任的可执行文件
尝试以安全模式启动计算机
还有很多很多
此期间的AAAP是全自动化的触发与关闭,AAP有一点类似于MD的六级云-零容忍,但二者孰强孰弱,笔者不好评价,因为笔者没有触发个人版的AAP进行测试,又没有安装企业版通过控制台开AAP,所以笔者不对AAP这个功能的强弱做评价。
在Sophos介绍AAAP也就是自适应主动攻击者保护功能的半年后,2023年9月26日,Sophos再次发文,此刻,AAAP就变成了现在的AAP也就是Adaptive Attack Protection自适应攻击保护,这就是AAP功能了。
Central to context-sensitive defenses is automatically applying more aggressive protection when a device is under attack. Adaptive Attack Protection dynamically enables heightened defenses on an endpoint when a “hands-on-keyboard” attack is detected.
In this elevated “mode” of protection, actions that are usually benign but commonly abused by attackers are blocked outright. This buys time for admins to eject the attacker from their environment and restore devices to clean health.
Adaptive Attack Protection is powered by SophosLabs’ knowledge of attackers’ latest techniques to gain footholds and progress toward their objectives. Our global team of threat researchers constantly adapts the protection to reflect the evolving threat landscape.
时间又过了半年多,到了2024年4月29日,Sophos又双叒发文,进一步说明AAP的详细情况,同时添加了控制台手动控制AAP启用的功能。
Greater Protection, More Control, Increased Visibility
This Sophos-exclusive protection capability is now even stronger. All Sophos Endpoint customers now benefit from a number of significant enhancements:
Greater protection. Customers now have the option to apply specific Adaptive Attack Protection blocking rules persistently via new policy settings in their Sophos Central cloud-based management console.
More control. Customers can now manually activate (and deactivate) Adaptive Attack Protection on a device to apply more aggressive protection while investigating suspicious activity – ideal for scenarios where fully isolating the device from the network may cause significant operational disruption to the organization. You can also extend the time that Adaptive Attack Protection is activated on a device to give more time to complete an investigation.
Increased visibility. New Adaptive Attack Protection events and alerts notify you when a device is under attack and urge responders to take action to neutralize the threat.
New manual controls for Adaptive Attack Protection.
AAP还有了新的策略规则:
New Safe Mode Protection
When adversaries fail to break through runtime protection layers on an endpoint, they often attempt to restart the device into Safe Mode, where security software is not present or minimal. Sophos Endpoint now protects against adversary abuse of Safe Mode with two new capabilities:
Block safe mode abuse: A new Adaptive Attack Protection persistent policy rule is now available that prevents adversaries from programmatically restarting devices into Safe Mode.
Enable protection in safe mode: Sophos Endpoint protection capabilities, including our unrivaled CryptoGuard anti-ransomware technology and AI-powered malware protection, can now be enabled on devices running in Safe Mode.
New safe mode protection policy settings.
到这里,AAP也就是自适应攻击保护功能的基本情况,大家已经基本了解,笔者就不再赘述。
第七阶段,家庭守护使总结篇
笔者这两天出了点计划之外的情况,因此直到现在,本帖的终结篇才迟迟推出,关于家庭守护使,笔者的看法是如果能白嫖守护使企业版,那完全没必要为家庭守护使个人版付费,换句话说如果你本身不是Sophos的真爱党,完全没必要花费三百多大洋付费,下面笔者来说一些Sophos的不足之处,作为本帖的收尾。
首先通过上面各个阶段的体验和介绍,笔者发现Sophos似乎缺少一个名为ARK也就是Anti-Rootkit的功能,笔者没有在SH本地发现ARK相关模块,也没有发现ARK的注册表键值,不清楚是笔者没发现还是Sophos以其他功能替代ARK功能,笔者暂时没发现,当然也可能是笔者不够细心,忽略了ARK的隐藏模块。
其次是Sophos的MTD也就是恶意流量检测功能,因为有SXL4这项云查询URL功能,我们与SophosSXL4服务器的连接一旦有延迟,我们访问网页的速度会大打折扣,这也是笔者使用家庭守护者感觉非常卡网的原因之一,所以SH在当下环境中的体验,比不上欧美等区域。
家庭守护使的控制台设计,这是体验非常糟糕的地方,因为没有本地设置,导致功能设置,文件恢复,文件排除,等等一系列操作都需要登录云端控制台来完成,这是非常影响用户体验的地方,完全不适合我们的使用习惯。
让笔者有一点适应不了的还有一个设定,那就是发现威胁后强制跑Clean流程,这个过程会导致系统响应速度有延迟,系统会变得有些卡顿,这也是笔者认为非常影响体验的地方。
再有就是家庭守护使的功能虽然很齐全,但是真正能拿得出手引以为傲的也就是HMPA以及AAP两个技术,ML的实际体验效果只能算中等强度ML,而行为分析阻止BB的实际效果也肯定比不上卡巴SW,BD ATD的,但是加密防御这CG这功能确实是不错,是相当不错的防勒索功能,其他也就没有太多惊艳的地方,但企业版有好的网络管理员,配合AAP技术,那Sophos还是非常强力的安全软件。
虽然Sophos的查杀能力不是很突出,甚至是有一些弱,但是它是那种以防为主的安全软件,加上HMPA和AAP的加持,总体上并不是很差,是可以用的安全产品,但如果你喜欢高查杀的安全产品,那么Sophos可能就不是非常好的选择,是否选择Sophos的安全产品还是需要看实际环境而定,以上是笔者个人看法与观点,仅供参考。
好了,本帖就到这里,由于笔者不是Sophos粉丝,对Sophos了解的只是表面情况,因此本帖可能存在一些错误或者不正确的地方,还望各位朋友多多包涵,笔者发本帖的初衷仅是想跟大家分享一些Sophos的设计以及软件架构,笔者也尽可能做到客观评价,最后希望大家喜欢本帖。那么,我们下次再见! |
[复制链接]
发表于 2024-7-25 22:15:48
楼主
发表于 2024-8-27 21:08:58
