本帖最后由 驭龙 于 2024-12-31 19:59 编辑
事情要从五年前ESET发布的DBI白皮书说起,但那时我由于一些原因不怎么上论坛也不怎么关注安全软件,所以错过了这篇白皮书,也不知本区有没有提起过,不过按现在饭友们对DBI的了解,我想很多人应该是不知这篇白皮书的,那么好了,现在有请ESET,请开始你的表演(确定不是在吹?哈哈)
ESET发布DBI白皮书的文章介绍:(不是白皮书正文,是简要)
本帖采用AI的渣渣翻译水平翻译,其中有部分的修改:
February 25, 2020 - Today, ESET released a white paper focusing on ESET Deep Behavioral Inspection (DBI) – the latest enhancement of the system specifically designed to perform advanced behavioral analysis and detection known as ESET Host-based Intrusion Prevention System (HIPS).
翻译:
2020 年 2 月 25 日 —— 今日,ESET 发布了一份白皮书,重点关注 ESET 深度行为检测(DBI)—— 这是该系统的最新增强功能,专门用于执行被称为 ESET 基于主机的入侵防御系统(HIPS)的高级行为分析和检测。
他们ESET的意思是说HIPS就是他们的高级行为分析检测技术,其中DBI是HIPS最新的增强功能。
Deep Behavioral Inspection, as one of the latest technological additions to the ESET HIPS framework, can be found in the latest edition of ESET products for home users. DBI includes new detection heuristics and enables an even deeper user-mode monitoring of unknown, suspicious processes. This is accomplished via hooks created by DBI within unknown, potentially harmful processes and monitoring of their activity and requests to the operating system. If malicious behavior is detected, DBI mitigates the activity and informs the user. If the process is suspicious, but does not show clear signs of malicious behavior, HIPS can also use the data gathered by DBI to run further analysis via its other modules.
翻译:
深度行为检测(DBI)作为 ESET 基于主机的入侵防御系统(HIPS)框架的最新技术补充之一,可在面向家庭用户的最新版 ESET 产品中找到。DBI 包含新的检测启发式方法,能够对未知、可疑进程进行更深入的用户模式监控。这是通过 DBI 在未知的、可能有害的进程中创建钩子,并监控它们的活动以及对操作系统的请求来实现的。如果检测到恶意行为,DBI 会阻止该活动并通知用户。如果进程可疑,但没有明显的恶意行为迹象,HIPS 也可以利用 DBI 收集的数据,通过其其他模块进行进一步分析。
吹的不错,DBI好厉害啊,可惜实际情况,惨不忍睹,BH报法,难得一见。
ESET Host-based Intrusion Prevention System is a detection technology specifically created to monitor and scan behavioral events from running processes, files and registry keys, looking for suspicious activity. It focuses on a variety of malicious behaviors used either to wreak havoc on a victim’s device or to avoid detection by security solutions. The list of HIPS modules includes:
• Advanced Memory Scanner (AMS)
• Exploit Blocker (EB)
• Ransomware Shield (RS)
• Deep Behavioral Inspection (DBI)
翻译:
ESET 基于主机的入侵防御系统是一种专门用于监控和扫描正在运行的进程、文件以及注册表项的行为事件以查找可疑活动的检测技术。它专注于各种各样的恶意行为,这些恶意行为要么用于对受害者的设备造成严重破坏,要么用于逃避安全解决方案的检测。HIPS 模块包括以下几种: 高级内存扫描仪(AMS):旨在应对如今恶意软件作者为避免检测和进一步分析而采用混淆、加密或让代码 “仅在内存中” 运行等手段带来的问题,通过不断扫描内存,以便在恶意软件暴露其真实本质时捕获它。 漏洞利用阻止程序(EB):旨在检测某些进程执行环境中的异常情况,这些异常可能表明存在利用漏洞的尝试。触发时,它可能会立即阻止威胁,并随后将收集的元数据提供给 ESET LiveGrid® 云系统以便做进一步分析,主要监控诸如浏览器、文档阅读器、电子邮件客户端、Flash、Java 等常被利用的应用程序。 勒索软件防护(RS):作为保护用户免受勒索软件威胁的额外防护层,使用基于行为和信誉的启发式方法对所有正在执行的应用程序进行监控和评估,一旦识别出类似勒索软件的行为或者潜在恶意软件试图对现有文件进行通常不必要的修改(比如加密文件)时,就会通知用户,用户可选择阻止相关活动。 深度行为检测(DBI):是 2019 年发布的新的 HIPS 功能之一,能对未知和可疑进程进行更深入的用户模式监控。
按照ESET的说法,HIPS的上述四个组件,才是ESET行为分析的本质,而HIPS规则只不过是附赠的功能,如果我们抛开HIPS的规则,那这功能算不算是主防呢?真是个有趣的话题,以后再说吧。
HIPS四大组件的工作原理是这样的,如下图所示:
Schematic indication of how DBI fits into the existing HIPS process monitoring layer
简单的说就是,未知的文件运行和已知的文件运行,HIPS通过四大功能进行监测,其中未知文件运行调用API时,DBI会介入,正常的已知文件的进程事件和注册表事件是跳过DBI,由其他三个功能进行监测,已知和未知文件通过HIPS的四大功能检测,外加livegird信誉,来判定文件是白文件还是PUA或者恶意,完成行为分析检测。
听上去,ESET的HIPS还是有一点行为分析主防的感觉,可为什么ESET的主防存在感这么低呢?几乎是见不到的,这些先不说,我们继续看ESET吹。
现在来看DBI的完整白皮书内容:ESET_Deep-Behavioral-Inspection_Whitepaper
完整的白皮书我已经翻译完了,但是不知为什么有屏蔽词,为了能让帖子发出来,我就把内容删了,有兴趣的就看原文吧。
大家注意这段英文原话:
DBI creates hooks within unknown, potentially harmful processes, monitoring their activity and requests to the operating system If malicious behavior is detected, DBI mitigates the activity and informs the user。
If the process is suspicious, but does not show clear signs of malicious behavior, HIPS can use the data gathered by DBI and run further analysis via its other components If necessary, HIPS can also request additional examination via technologies outside HIPS that are part of the broader ESET scanning engine。
Based on all these outputs, the process is then identified as clean, or potentially unwanted, or malicious It is true that modifications of the malicious process – performed by DBI – can trigger anti-sandboxing mechanisms built into the malware However, this is of benefit to the user, since often such malicious code will not run its course when a virtual, emulated or otherwise monitored environment is suspected, and will thus inflict no harm
翻译:
深度行为检测(DBI)在未知的、可能有害的进程中创建钩子,对它们的活动以及向操作系统发出的请求进行监控。如果检测到恶意行为,DBI 会阻止该活动并通知用户。
倘若进程可疑但没有明显的恶意行为迹象,基于主机的入侵防御系统(HIPS)可以利用 DBI 收集的数据,通过其其他组件开展进一步分析。如有必要,HIPS 还能够借助属于更广泛的 ESET 扫描引擎的 HIPS 外部技术来请求额外检查。
基于所有这些分析结果,相关进程随后会被识别为安全、潜在不受欢迎或恶意的类别。诚然,由 DBI 对恶意进程进行的修改可能会触发恶意软件内置的反沙箱机制。不过,这对用户是有益的,因为通常在怀疑存在虚拟、模拟或其他受监控环境时,此类恶意代码往往不会继续运行,因而也就不会造成危害。
尤其是这段话,大概的意思是说,一个可疑文件调用API以后,被深度行为检测联合其他模块技术,确认为恶意软件,通过DBI对该恶意软件进程进行修改,触发样本自身的反分析和反沙盒机制,让样本认为现在的环境不是真实的系统,而是一个分析样本行为的虚拟环境,由于高级样本有规避反分析和反沙盒的行为,因此样本自己退出了,这就让ESET用户免受安全威胁的影响。
本帖的上篇先到这里,这两天会更新下篇,下篇我们就不听ESET吹牛了,来实战体验一下,ESET所谓的行为分析体系,当然样本不多,只是简单测一下,看看到底是什么原因导致DBI实际情况跟ESET说的不一样吧。
==============================================================
听ESET吹了这么多,现在抛开上面说的全部内容,来谈谈DBI和HIPS功能,很多人认为ESET没有行为分析,HIPS就是个手动玩规则的HIPS,但事实上AMS也就是高级内存扫描,这个功能以前已经有很多大佬分析过了,我就不班门弄斧了。
但AMS也是对内存中的威胁进行识别的,因为不管样本怎么混淆本体,在释放到内存中就必然会暴露恶意行为,这种时候就是AMS调用已知基因特征行为,识别内存中恶意软件的机会,这在ESET看来是行为分析的一部分。
最为罕见的是HIPS下的EB,漏洞利用阻止,这功能几乎见不到,那它算不算行为分析?首先说EB为何少见,原因是EB只对特定进程的漏洞利用进行检测,这些进程是- iexplore.exe
- firefox.exe
- opera.exe
- chrome.exe
- brave.exe
- msedge.exe
- thunderbird.exe
- plugin-container.exe
- acrord32.exe
- outlook.exe
- wlmail.exe
- word.exe
- winword.exe
- excel.exe
- powerpoint.exe
- powerpnt.exe
- java.exe
- javaw.exe
- javaws.exe
- jp2launcher.exe
- FlashPlayerPlugin*.exe
但,监控这些进程的不仅仅有EB,其他模块也是有参与的。
理论上只有这些出现被漏洞利用的负载体,EB才会发挥效果,这就是EB难得一见的根本原因,那么,EB算不算是行为分析的一部分?
接下来说的是RS,勒索软件防护,实际上英文是勒索软件护盾,这个官方也已经说的很多了,大神也测试过,我不说太多,但我要告诉大家,ESET对勒索软件是有纯纯的行为分析以及livegrid联动的,以HIPS整体来说,不调用引擎特征库和其他功能模块的情况下,RS具有的行为分析报法如下:
- HIPS 1896模块为例
- Object.Suspicious
- Trojan.Win32/Filecoder.Locky~data
- Trojan.JS/Filecoder.RAA~data
- Trojan.Win32/Filecoder.NDT~data
- Trojan.Win32/Filecoder.Crysis~data
- Trojan.Win32/Filecoder.CryptProjectXXX~data
- Trojan.Win32/Filecoder.Enigma~data
- Trojan.Win32/Filecoder.DMALocker~data
- Trojan.Win32/Filecoder.UnblockUpc~data
- Trojan.Win32/Filecoder.Ishtar~data
- Trojan.Win32/Filecoder.NLI~data
- Trojan.MSIL/Filecoder.Fantom~data
- Trojan.MSIL/Filecoder.Paradise~data
- Trojan.Win32/Filecoder.NQG~data
- Trojan.Win32/Filecoder.Hermes~data
- Trojan.Win32/Filecoder.NIJ~data
- Trojan.Win32/KillDisk~data
- Trojan.Win32/Filecoder.LockedFile~data
- Trojan.Win64/Filecoder.SynAck~data
- Trojan.Win32/Filecoder.NPI~data
- Trojan.Win32/Filecoder.GandCrab~data
- Trojan.MSIL/Filecoder.HildaCrypt~data
- Trojan.Win32/Filecoder.Buran~data
- Trojan.Win32/Filecoder.Snake.A~data
- Trojan.Win32/Filecoder.HydraCrypt.Q~data
- Trojan.Win32/Filecoder.RagnarLocker.A~data
- Trojan.Win32/Filecoder.Maze.A~data
- Trojan.Win32/Filecoder.Montserrat.A~data
- Trojan.Win32/Filecoder.Sodinokibi.A~data
- Trojan.Win32/Filecoder.Sodinokibi.B~data
- Trojan.WinGo/Filecoder.DeroHE.A~data
- Trojan.Win32/Filecoder.Wesker.A~data
- Trojan.Win32/Filecoder.LockerGoga.C~data
- Trojan.Win32/Filecoder.Teslarvng.A~data
- Trojan.Win32/Filecoder.Nemty.G~data
- Trojan.Win32/Filecoder.Nemty.C~data
- Trojan.Win32/Filecoder.Eris.C~data
- Trojan.Win32/Filecoder.Crysis1~data
- Trojan.Win32/Filecoder.Nemty.D~data
- Trojan.Win32/Filecoder.TFlower.A~data
- Trojan.WinGo/Filecoder.DarkBit.A~data
由此可见,RS是有分析勒索软件行为的能力,而且还会调用SO云杀,但是为什么看不到RS发威呢?我想有两个原因,一个是ESET基因太好,大多数勒索都被基因杀了,而不杀的又没有被HIPS模块收录行为特征,所以不容易触发RS。另一个原因是看这些已提取的勒索软件行为特征报法,大多数都不在国内里流行,所以这也是RS不常见的原因之一。
接下来,就说说DBI了,首先DBI是通过两种方式或者更多方式识别和拦截样本的,白皮书上也说DBI可以联动其他组件,甚至是扫描引擎进行检测,简单的说,DBI发现可疑恶意行为,在augur打分和livegrid信誉到达某个阈值- AugurConfidence
- ProcessIntegrityLevel
- Guid
- AugurScore(重点)
- HaveBeenDetected
- LiveGridReputation
- LiveGridPopularity
- ParentPidSpoofed
- LiveGridAge
- FileOrigin
- ThreatName
- CreationDate
不但杀衍生物,还杀本体,这是名副其实的行为分析了吧,只可惜DBI不是对全部样本都这么敏感,只是对特定行为的恶意软件有不错的杀伤力,其中无文件威胁,脚本威胁,自动化脚本,盗号类,也就是stealer样本比较敏感,其他的样本触发概率不是很大,所以样本区测试,DBI并不多见,个人感觉DBI跟大蜘蛛的DPH有一点类似,对于特定的威胁类型,有不错的效果,但不是对所有威胁类型有效,所以DBI确实是行为分析没错。
在没有外在技术和其他模块的支持下,我在DBI模块中找到以下特征:
- Trojan.BH/DBGenerik
- Trojan.BH/PSWFareit
- Trojan.BH/AutoIt
- Trojan.BH/Delf
- ApplicUnwnt.BH/IC
- Trojan.BH/SpyAgent
- Trojan.BH/SpyUrsnif
- Trojan.BH/InlineSyscall
这应该是在DBI不调用augur和livegrid还有基因库,单独依靠自身能够识别的恶意类型,虽然不是很多,但其中BH/DB是通用行为分析,样本区并不是见不到,偶尔也是出来跟大家打招呼的。
上述还不是ESET的全部行为分析,在HIPS核心中也是有一大串通用行为特征,其中包括TDT的调用特征,具体特征如下:
- Trojan.Win32/Beh.A2
- Trojan.Win32/Beh.A1
- Trojan.Win32/Beh.A4
- Trojan.Win32/Beh.A3
- Trojan.Win32/Beh.A6
- Trojan.Win32/Beh.A5
- Trojan.Win32/Beh.A8
- Trojan.Win32/Beh.A7
- Trojan.Win32/Beh.A10
- Trojan.Win32/Beh.A9
- Trojan.Win32/Beh.A12
- Trojan.Win32/Beh.A11
- Trojan.Win32/Beh.A14
- Trojan.Win32/Beh.A13
- Trojan.Win32/Beh.A16
- Trojan.Win32/Beh.A15
- Trojan.Win32/Beh.B2
- Trojan.Win32/Beh.B1
- Trojan.Win32/Beh.B4
- Trojan.Win32/Beh.B3
- Trojan.Win32/Beh.B6
- Trojan.Win32/Beh.B5
- Trojan.Win32/Beh.Tdt.A
- Trojan.Win32/Beh.B7
- Trojan.Win32/Beh.Tdt.TGL
- Trojan.Win32/Beh.Tdt.CML
- Trojan.Win32/Beh.C%d
- Trojan.Win32/Beh.Tdt.ALDRL
- Trojan.Win32/Beh.Z
这些都是HIPS真实的自身行为分析特征,但由于HIPS与各组件联动,获取他们的特征会报出五花八门的行为特征报法,开头会有BH行为分析启发的命名,这才是ESET结合AMS EB RS DBI四大组件组成的HIPS体系,我开头就说了在不说HIPS规则的情况下,HIPS算不算行为分析呢?原本我想慢慢说,但基于很多饭友以为我在黑ESET,就先更新了,所以更多的实际测试都没有完成。
现在来说说上半部争议比较大的DBI业余功能,模拟环境,让恶意软件触发自我的反分析能力,进而自动退出。
It is true that modifications of the malicious process - performed by DBI – can trigger anti-sandboxing
确认这个恶意进程的修改,由DBI执行,可以触发反沙盒行为。
这句话,我们不看DBI是不是修改恶意进程,也不是说DBI把原本没有反分析的样本改成有反分析的样本,实际上DBI修改只是让恶意进程认为自己在虚拟环境中(近似于把样本扔进沙盘),然后DBI的沙盘是模拟这些环境:
- cygwin_internal
- msys-2.0.dll
- cygwin1.dll
- cyg
- VirtualBox
- vbox
- VBOX
- KVM
- Virtual Machine
- Hyper-V
- qemu
- QEMU
- VMware
DBI启用上述模拟环境,enabled以后,样本在沙盒的环境中检测到上面的环境,如果有反分析或者环境检测的功能,那么就有可能退出,不产生恶意行为,就比如说某些样本在环境中检测不到微信就退出,是一个道理,因为DBI有遥测效果,所以这算得上是一种补偿手段吧。
由DBI模块可见:
- --service-sandbox-type=none
- --enable-sandbox
- %InstallDir%
- %InstallDir32%
- SYSTEM\CurrentControlSet\Services\mssmbios\Data
- SMBiosData
- --type=gpu-process
- --type=renderer
- --service-sandbox-type=
- -contentproc
- \InProcServer32
所以不是我说有沙盘的,而是ESET的HIPS体系下的DBI真有sandbox技术,因此,HIPS四大组件分析运行的样本时,对用户的系统环境威胁并不大,但我是菜鸟,不清楚DBI的沙盘强度,以及倒沙情况,只是知道,BH报法会删除本体和本体释放的衍生物,却也有残留没有恶意行为的衍生物,看起来DBI是没有完全倒沙和回滚的效果,但也能保证分析的过程中样本在沙盘环境中。
我之前是打算再测两天的DBI功能,然后在慢慢更新帖子,但我的调侃让人感觉不舒服,觉得我是在黑ESET,现在年龄大了,不像十几年前,我不想多说什么了,我妥协,ESET是强大的,我不应该嘲讽它的行为分析效果不理想,没错,人家只是检测的类型比较专攻,因此才难得一见,并不是DBI没本事发现恶意行为。
我已经把上半部的部分言辞修改,大家满意就好,但是我非圣贤,我很委屈,明明是带着嘲讽的语气来科普DBI,免得别人说我吹捧ESET,所以我在介绍DBI功能的同时,吐槽几句,我一贯的原则是中立,所以我不想获得吹捧ESET的头衔,奈何事与愿违。
我原本打算再发几个大家不知道的ESET小秘密和功能特色,但我怕我控制不住自己,万一再嘲讽几句,又有人觉得我在黑ESET,我就真的犯不上了,所以近期我溜了,短期内吧,就不发关于ESET的科普帖子和功能介绍帖子了,或许会发一下官方消息,但大型的测试帖子应该近期不会有了,我犯不上惹人不开心,然后我也不开心,大家都不开心多不好啊,所以我先溜了。
PS:我接下来会在哪个版区出现呢?我也不知道,看心情吧,过几天武动乾坤和少年歌行都有新季开播,哈哈。
|
[复制链接]
发表于 2024-12-30 17:11:38
楼主
不吹牛又怎么显得自己高大上呢
