Board logo

标题: 为何说“治本需主动防御” [打印本页]
作者: liu12345     时间: 2012-3-21 17:50    标题: 为何说“治本需主动防御”

首先 喷下微点
微点我很喜欢 自己也在用 但是。。他的成绩大家有目共睹
对新型的木马几乎0防御 让人如何理解?
我想 也许是微点的黑箱规则的更新几乎没有吧。。1.2→2.0 至今不过是加强了些网页挂马的防御 和一个扫描(目前在我看来)

然后进入正题

主动防御作为一个已经被喊烂了的名词 究竟是什么呢?
其实 主动防御出现 主要是为了规避当初熊猫烧香的窘迫
大家都知道 熊猫烧香,金猪报喜,或者说所有的“病毒+木马+蠕虫”类别的其实就是一个东西 只是作者无限做免杀。导致的大面积感染

那么 针对这一个类别 归纳他们共有的必须的动作 进行主动的防御 不就可以彻底免除免杀危机了么?
当然 这个想法很早就有了 产物是“高级启发式+虚拟机”
大多数称为高级启发式的引擎 都是从汇编角度提取共有的汇编指令
比如
1,oep
2~5,call ******h(瞎写的 意思是在离程序入口2~5个有效指令内出现一个call)
caling(我瞎写的 意思是跟进这个call)
1,caling oep(也是瞎写的 意思是这个call的入口)
5~8,jmp *******h(瞎写的 意思是离call入口5~8个有效指令内出现一个jmp)
15~19,loop ****h(这地方实在不懂 毕竟没弄过 不过貌似这里的loop需要匹配循环起始的特定汇编指令不知道咋写 就这么看吧  高手莫笑啊)
retn-(1~3),popad(瞎写的,意思是到返回前1~3个有效指令内出现popad)
假如上面是个高启规则

然后引擎自动规避了类似nop 类似 add eax,1  add eax,-1 这样的混淆指令后进行规则归纳
但是 要知道还有外壳,,外壳会加密或变形所有的指令
而一昧的算法脱壳 不说别的 光UPX以及其变种就能玩死你
即使是卡巴 面对当初免杀熊猫+变种upx 也头疼了好久
所以 高启+虚拟机已经成为一个定则

最开始的, 虚拟机寻到OPE 然后高启去分析
后来出现了VM外壳 VM壳可以对某一条指令单独加密 等走到这部分的时候再解开。。 累死虚拟机也寻不到合适的OEP

那么 高速型虚拟机+实时调试型的高启 出现了 目前已知的 瑞星、NOD32、微点杀毒 均使用了该技术
表现为虚拟机需要设置超时时间 因为如果虚拟机无法确定OEP 那么就会一直虚拟运行下去 直到超时,而简单的脱壳虚拟机则发现自己没对应的脱壳规则后 就丢出来忽略掉了 当然 这两种虚拟机均会报警 pack

然后还有区段跳转,异常+loop的,很容易就锁死虚拟机,或者导致虚拟机崩溃,或直接规避高启规则

那么 针对这类情况该怎么办呢?
记得貌似是当初金山先做的实机寻找OEP。。貌似吧
实机监控自解压 自解密过程 瑞星也着重制作了内存监控等
但是类似VM壳 或者“内存补丁” 或者“伪壳”的出现  。。让这类监控穷于应对


然后 大家不约而同的将眼睛看向当时已经趋于成熟的“HIPS”
于是。。瑞星的“全拦截”横空出世

然后。。。大家知道多蛋疼吧?
额 想想当初360的7.*时代就知道了。当时还没有自动模式。

然后大家眼睛又瞄向了“云安全”
这时候 新病毒的检出速度加快到了1~5分钟
但是 病毒的免杀也相对容易了
最早的 只要改下md5就免杀5分钟。。
木马的高速免杀器就出现了
平均一天一个人能生成数百个木马免杀体

额 还是很尴尬啊 离开云了 一个机器照样不设防。。

那么 陷入一个死循环
HIPS→弹窗过多
云→免杀过多
于是 云+hips
出现了 主要就是 把白名单丢在云端 然后不认识的再各种弹窗
有效缓解了HIPS的不适用性并有效利用了云的快速反应

但是这个 对于个人开发者来说是个致命的
所谓“一直确定”
那么 用360来说 开个ARK软件报的驱动默认是拒绝的。。
一直确定么? 那我运行软件干嘛的?
我能自己辨认动作我要你杀软干嘛的?

OK,,那么 基于API+栈回溯的主动防御明显是个不错的选择
普通HIPS
放行,拒绝,记日志
智能HIPS
认识→出结果
不认识→放行,拒绝,以后都这么操作

然后说说我所认为的主动防御的工作方式:
多个动作
匹配API序列
分析可能造成的结果(启发式匹配API)
有可能造成很大危害→发现可疑程序 是否阻止运行
暂时发现不了什么或用户点击放行→继续观察
发现可匹配的已知木马动作列表的尾端动作→挂起程序 检索之前保存的动作日志
发现与已知木马行为匹配→检索生成者、以及其进行的注册表、文件改动→发现未知木马 是否删除? 或发现未知木马极其衍生物 神马神马的。。。
未发现与已知木马行为完全匹配 →与之前保存的动作放在一起分析可能造成的结果
有可能造成危害→发现可疑程序 是否阻止运行
。。。。
当然了 上面只是我随便写的
具体怎么做还是不清楚
也许有加权“? 也许有其他的方式?
这些的真正操作方式我们无法看到
但是我们知道的 主动防御只要把一个木马杀了。。这一系列基本就没能逃脱的
也就是说 用几天的时间 去直接杀掉了一个或多个家族
比如 对威金病毒进行分析开发的主防规则 可以直接杀掉熊猫烧香全系列 金猪报喜全系列等等
对灰鸽子进行分析开发的主防规则 可以直接干掉黑洞全系列、上兴全系列、ghost远控全系列等等
。。这可比所谓”云“要快的多了
当然 这些是建立在不断的 高质量的更新的基础上。。。


所以 我也认为 “治本需主动防御” 只是现在还没人能真正的做到
希望微点能快快更新
希望其他厂商制作出更好的.......
作者: Legend     时间: 2012-3-21 17:55
楼主您好 感谢您对微点的关心与支持
微点主动防御软件的研发及升级不会终止 我们会竭尽全力让产品越来越好
若使用中发现任何问题 请咨询QQ:466248167
作者: dxr     时间: 2012-3-21 17:59
微点如果能集成几个单步HIPS的话,效果会大大提高的。
单步HIPS主要防CMD流,开机启动,改扇区,加驱动。这东西连颓废的金山卫士都有,相信微点的工程师一个小时就能搞出来



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn