【图赏+简评】UpSight Security 免费行为保护/EDR

神龟Turmi

众所周知，常规的安全软件尚且需要发掘盈利点，而对服务器资源消耗是常规安全软件数倍的EDR，更不太可能有免费的。
我之前介绍过Elastic Defense（传送门：https://bbs.kafan.cn/thread-2249543-1-1.html），这已经是为数不多的可免费使用的EDR了。
但是代价是，Elastic只提供了免费的软件，而你还需要自己提供服务器来部署它才能免费使用。
那么？有没有一款真正意义可以免费使用的SaaS部署的EDR呢？
在今天之前，我会说，很难。但是现在，我会说，有！

那么就让我们正式开始今天的简评吧~

UpSight是一家位于美国俄勒冈的小型安全公司，根据他们领英的信息，他们公司目前只有13名员工。
我很早之前就在关注这家公司，因为他们在此之前提供了一个免费又轻巧的Steam反盗号保护工具，它可以保护玩家的Steam不被注入和保护Steam的SSFN不被Stealer窃取。我很早之前就试过他们的反盗号工具，效果很好，但是之前这作为他们唯一的产品，我一直很好奇，当一家公司唯一的产品是一个免费且没有任何盈利点的工具时，他们是怎么活下来的？
现在这个问题得到了解答，那只是他们作为初创公司在安全行业的敲门砖，而他们现在有了一个正式的产品，也就是今天要评测的UpSight Security。

根据介绍，UpSight的两位创始人Tracy Camp和Svetoslav Vassilev曾在McAfee工作，后来他们一同加入了另一家安全行业初创公司CarbonBlack，他们在McAfee和CarbonBlack总计工作超过17年，并在CarbonBlack被VMWare收购时一同离职创立了UpSight。
有这样两位经验丰富的大佬坐镇，UpSight的产品能交出一份满意的答卷吗？那就让我们进入下一部分看看吧~

下面让我们从他们官方的介绍开始：
需要说明，此部分内容我使用了字节跳动的Doubao-pro-4k-character-240728大模型翻译（不是广告），我将它的角色预设为一位没有感情的专业翻译人员，并且我人工校对了大部分的内容。但是基于目前LLM经常出现的幻觉问题，我不能保证翻译的绝对准确性，仅供参考。

UpSight 根据行为而非传统定义来识别和阻止威胁。因此，无论如何，密码窃取器就是密码窃取器。
结果是什么呢？检测需要的时间大大缩短。在几秒钟内驱逐威胁，而不是像传统的安全软件或 EDR 那样需要几分钟、几小时甚至几天。
这意味着 UpSight 的检测最佳点出现在攻击者攻破你的系统之前，而不是之后。在凭据被盗之前。在有效载荷引爆之前。在造成损害之前。这就是人工智能的力量。
Q：UpSight是什么？
A：UpSight 是一款用于 Windows终端设备的云端管理的轻量客户端，它观察每天设备上发生的数十亿个低级事件，并有效地将其过滤为代表攻击词汇中的单词的微小子集，并将其放置在 UpSight 攻击过程图中。UpSight 客户端是主动的，并实时预测、拦截和驱逐攻击者。
Q：什么是UpSight攻击过程图？
A：UpSight 攻击过程图是攻击者技术的“语句图”。通过将已知的威胁行为视为一种语言，我们可以利用自然语言机器学习模型的预测能力来预测行为者下一步将采取什么行动。这使 UpSight 能够比竞争解决方案更快地识别、缓解和驱逐威胁。该图也是 UpSight 驱逐能力的核心。可以向后遍历攻击语句到其词根；后门、持久性和恶意工件将被阻止并自动隔离。
Q：UpSight和传统的安全软件或EDR有多大的区别？
A：我们的预测、拦截和驱逐策略提供了一种以人工智能为本的防御勒索软件的方法，它在终端上攻击发生的地方快速做出缓解。
我们基于人工智能的方法不受签名检测、Hash或传统反病毒方案的云检测滞后性的影响。UpSight 的轻量客户端基于攻击者行为的自然语言，能够区分 IT 人员进行日常软件维护或部署和攻击者试图窃取身份验证凭据、部署勒索软件或勒索数据的好坏行为。
我们的人工智能模型相当轻量，直接在终端设备上运行。
UpSight 不需要大量的存储空间、频繁的更新和明显的性能消耗。UpSight 也不需要将大量数据发送到云服务来操作。实际上，UpSight 可以离线并脱离 UpSight Cloud 运行。
Q：UpSight是我目前使用的EDR的替代品吗？
A：UpSight 让您的安全堆栈中新增了一个新的快速缓解反应层，与传统的 AV 和 EDR 解决方案一起增强了对勒索软件攻击的弹性。
通过补强您的 EDR 传感器，UpSight 显著且经济高效地提高了您仅使用传统防病毒方案的弹性。EDR擅长的在您的网络范围和规模上识别“大局”威胁，但在不使您的 SOC 团队因警报而不堪重负的情况下，可能难以阻止早期利用的尝试。与 EDR 一起部署时，UpSight 让您的 SOC 力量倍增。

是不是说的挺玄乎的。。。到底有没有用，就让我们实战见吧。

首先，进入官网（https://upsight.ai/product），映入眼帘的是它不同套餐的对比：

如图可见，它的免费版最多可以保护3个设备，并且提供10天的EDR回溯期。

注册之后进入控制台，相当的简洁。


在Device Group中，可以给终端建立一个组并且调整设置，其实没什么可调的。

主要就是是否要打开通知，以及选择UpSight运行在保护模式（拦截威胁）还是EDR模式（不拦截任何威胁，只充当普通的EDR搜寻）。

下一步就是在设备上安装UpSight了，它只支持Windows系统，提供了AMD64和ARM64两种指令集的安装包。

PowerShell一键安装也已经见怪不怪了，那是给大公司批量部署用的，和我们没什么关系，我们直接下载安装包就好了。
标准安装之后它会自动打开浏览器，让你登录账户，然后稍等片刻，设备就被添加到你的账户里了。


除了进程，没法发现它的存在，它没有图标和界面，也不会注册windows安全中心。
（这台机器上的SentinelOne已经被我提前关掉了，我不卸载它的原因只是免得WindowsDefender突然冒出来）


顺便我们可以看到，如同介绍的一样，它的模型非常小，只有1.5MB。

由于用的是ONNX，理论上来说它如果没有写死onnx-cpu的backend，理论上它可以被跑在GPU/NPU上（onnx-cuda/onnx-dml）。
因为我这个测试的虚拟机没有独显也没有NPU，就交给你们来发现了~

然后我们将设备加入默认组，默认组我已经打开了系统通知。


然后我们跑一下https://bbs.kafan.cn/thread-2272205-1-1.html里的测试样本。

执行到Dump LSASS的时候被UpSight阻止，mimikatz报告读内存失败。

对应控制台的EDR流程图。
UpSight：啊？我不到啊，这mimikatz哪来的啊？
龟龟：（一脸奸笑）你当然不知道，这是我自己手敲命令敲出来的啊~

如果跳过Dump LSASS，直接尝试窃取浏览器的密码库呢？

噔噔咚，依然被拦截。
这个应该算特长了，毕竟他们是做反Steam盗号起家的。

UpSight：又哪来的啊？没头没尾的突然偷浏览器密码库
龟龟：我这机器闹鬼（逃

既然他们介绍着重讲到了Stealer和勒索，Stealer已经试过了，怎么能不来个勒索呢？
上Medusa（https://bbs.kafan.cn/thread-2271765-1-1.html）

刚跑起来，一瞬间被行为检测拿下~

这次终于有比较完整的进程树了（这Medusa怎么开这么多子进程。。。）
从这里也可以看出它和目前顶尖的EDR（CrowdStrike SentinelOne Cybereason）的差距，它并没有重现出来我从打开浏览器访问微云->下载压缩包->调用7Zip解压->运行的全过程

综上，这是一个有着一些问题的EDR，它没有完整的教程文档，也没有做到SentinelOne的毫秒级响应（事实上从它行为拦截到控制台出现Event平均要过去接近10分钟），也没能达到顶尖EDR的事件回溯能力。
但是，这些缺点都敌不过三个字：它免费！

白露为霜

本帖介绍了UpSight Security，一款EDR软件，虽然通常EDR软件主要面向企业环境，但UpSight Security具备较低的部署成本和简便的操作方式，使得个人用户也能够轻松上手。这为更多对EDR技术感兴趣的个人用户提供了学习和使用的机会，预期将引发较多技术讨论。

另外，楼主在本版区长期发布高质量的原创内容，例如：
(完结撒花+样本已公开) 如果用攻击企业的方法攻击个人安全软件会怎么样呢？
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2181276
[还我隐私]对抗三家互联网公司的安全软件纪实
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2194483
【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？ 第三期
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2250429
【实验】相同的勒索在不同系统/指令集下安全软件的检测率和入库速度会有区别吗
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2263204
【完结】【毒组x帮帮团】如果用攻击企业的方法攻击个人安全软件会怎么样呢？第五期
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2261654
Elastic Defend EDR评测（2023重制版）
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2249543
真实水平？来掏出来比一比吧 卡巴斯基 vs DI vs CheckPoint
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2267375


这些帖子往往涉及复杂且耗时的实验步骤，容易出错且工作量巨大。通过控制变量实验、理论推理和统计分析等科学方法，楼主对安全软件和恶意软件进行了客观分析与评估，为个人和企业在选择安全解决方案时提供了技术上的宝贵参考。

鉴于以上内容的技术深度及其对版区讨论的推动作用，特授予楼主1点技术值奖励。感谢楼主的持续分享，期待您未来更多精彩的技术内容。

@神龟Turmi

Yuki丶

居然免费

zfc234

可以拿来玩玩，虽然我对manageengine的免费EDR已经非常满意了

RainCloud9

竟然免费？必须玩玩
这就试试它和卡巴的兼容性如何: )

真小读者

付费版20美元一年也不算贵

RainCloud9

好嘛，刚刚给我QQ杀了，过会我瞅瞅事件怎么回事

神龟Turmi

RainCloud9 发表于 2024-8-13 11:52
好嘛，刚刚给我QQ杀了，过会我瞅瞅事件怎么回事

是不是QProtect扫盘的时候扫到浏览器密码库了 这玩意儿读浏览器密码库杀无赦的

RainCloud9

神龟Turmi 发表于 2024-8-13 12:20
是不是QProtect扫盘的时候扫到浏览器密码库了 这玩意儿读浏览器密码库杀无赦的

不不不，这个要复杂一点
我本来想打开任务管理器，自动打开process explorer
然后procxp扫到了qq的进程，做了一个映像劫持（用来取代taskmgr的）
结果我刚打开QQ准备发一个表情包，QQ就修改了几个.gif.tmp，被判定为勒索加密，k
于是攻击链成了这样：procxp先做了持久化然后让QQ执行勒索: (
欲知后事如何且听下回分解

神龟Turmi

RainCloud9 发表于 2024-8-13 13:26
不不不，这个要复杂一点
我本来想打开任务管理器，自动打开process explorer
然后procxp扫到了qq ...

emmm emmmmm emmmmmmm 我接不了话了

inhh1

神龟Turmi 发表于 2024-8-13 12:20
是不是QProtect扫盘的时候扫到浏览器密码库了 这玩意儿读浏览器密码库杀无赦的

新NTQQ没有QP了