liu12345
注册用户
积分 52
发帖 52
注册 2011-4-5
|
#1 为何说“治本需主动防御”
首先 喷下微点
微点我很喜欢 自己也在用 但是。。他的成绩大家有目共睹
对新型的木马几乎0防御 让人如何理解?
我想 也许是微点的黑箱规则的更新几乎没有吧。。1.2→2.0 至今不过是加强了些网页挂马的防御 和一个扫描(目前在我看来)
然后进入正题
主动防御作为一个已经被喊烂了的名词 究竟是什么呢?
其实 主动防御出现 主要是为了规避当初熊猫烧香的窘迫
大家都知道 熊猫烧香,金猪报喜,或者说所有的“病毒+木马+蠕虫”类别的其实就是一个东西 只是作者无限做免杀。导致的大面积感染
那么 针对这一个类别 归纳他们共有的必须的动作 进行主动的防御 不就可以彻底免除免杀危机了么?
当然 这个想法很早就有了 产物是“高级启发式+虚拟机”
大多数称为高级启发式的引擎 都是从汇编角度提取共有的汇编指令
比如
1,oep
2~5,call ******h(瞎写的 意思是在离程序入口2~5个有效指令内出现一个call)
caling(我瞎写的 意思是跟进这个call)
1,caling oep(也是瞎写的 意思是这个call的入口)
5~8,jmp *******h(瞎写的 意思是离call入口5~8个有效指令内出现一个jmp)
15~19,loop ****h(这地方实在不懂 毕竟没弄过 不过貌似这里的loop需要匹配循环起始的特定汇编指令不知道咋写 就这么看吧 高手莫笑啊)
retn-(1~3),popad(瞎写的,意思是到返回前1~3个有效指令内出现popad)
假如上面是个高启规则
然后引擎自动规避了类似nop 类似 add eax,1 add eax,-1 这样的混淆指令后进行规则归纳
但是 要知道还有外壳,,外壳会加密或变形所有的指令
而一昧的算法脱壳 不说别的 光UPX以及其变种就能玩死你
即使是卡巴 面对当初免杀熊猫+变种upx 也头疼了好久
所以 高启+虚拟机已经成为一个定则
最开始的, 虚拟机寻到OPE 然后高启去分析
后来出现了VM外壳 VM壳可以对某一条指令单独加密 等走到这部分的时候再解开。。 累死虚拟机也寻不到合适的OEP
那么 高速型虚拟机+实时调试型的高启 出现了 目前已知的 瑞星、NOD32、微点杀毒 均使用了该技术
表现为虚拟机需要设置超时时间 因为如果虚拟机无法确定OEP 那么就会一直虚拟运行下去 直到超时,而简单的脱壳虚拟机则发现自己没对应的脱壳规则后 就丢出来忽略掉了 当然 这两种虚拟机均会报警 pack
然后还有区段跳转,异常+loop的,很容易就锁死虚拟机,或者导致虚拟机崩溃,或直接规避高启规则
那么 针对这类情况该怎么办呢?
记得貌似是当初金山先做的实机寻找OEP。。貌似吧
实机监控自解压 自解密过程 瑞星也着重制作了内存监控等
但是类似VM壳 或者“内存补丁” 或者“伪壳”的出现 。。让这类监控穷于应对
然后 大家不约而同的将眼睛看向当时已经趋于成熟的“HIPS”
于是。。瑞星的“全拦截”横空出世
然后。。。大家知道多蛋疼吧?
额 想想当初360的7.*时代就知道了。当时还没有自动模式。
然后大家眼睛又瞄向了“云安全”
这时候 新病毒的检出速度加快到了1~5分钟
但是 病毒的免杀也相对容易了
最早的 只要改下md5就免杀5分钟。。
木马的高速免杀器就出现了
平均一天一个人能生成数百个木马免杀体
额 还是很尴尬啊 离开云了 一个机器照样不设防。。
那么 陷入一个死循环
HIPS→弹窗过多
云→免杀过多
于是 云+hips
出现了 主要就是 把白名单丢在云端 然后不认识的再各种弹窗
有效缓解了HIPS的不适用性并有效利用了云的快速反应
但是这个 对于个人开发者来说是个致命的
所谓“一直确定”
那么 用360来说 开个ARK软件报的驱动默认是拒绝的。。
一直确定么? 那我运行软件干嘛的?
我能自己辨认动作我要你杀软干嘛的?
OK,,那么 基于API+栈回溯的主动防御明显是个不错的选择
普通HIPS
放行,拒绝,记日志
智能HIPS
认识→出结果
不认识→放行,拒绝,以后都这么操作
然后说说我所认为的主动防御的工作方式:
多个动作
匹配API序列
分析可能造成的结果(启发式匹配API)
有可能造成很大危害→发现可疑程序 是否阻止运行
暂时发现不了什么或用户点击放行→继续观察
发现可匹配的已知木马动作列表的尾端动作→挂起程序 检索之前保存的动作日志
发现与已知木马行为匹配→检索生成者、以及其进行的注册表、文件改动→发现未知木马 是否删除? 或发现未知木马极其衍生物 神马神马的。。。
未发现与已知木马行为完全匹配 →与之前保存的动作放在一起分析可能造成的结果
有可能造成危害→发现可疑程序 是否阻止运行
。。。。
当然了 上面只是我随便写的
具体怎么做还是不清楚
也许有加权“? 也许有其他的方式?
这些的真正操作方式我们无法看到
但是我们知道的 主动防御只要把一个木马杀了。。这一系列基本就没能逃脱的
也就是说 用几天的时间 去直接杀掉了一个或多个家族
比如 对威金病毒进行分析开发的主防规则 可以直接杀掉熊猫烧香全系列 金猪报喜全系列等等
对灰鸽子进行分析开发的主防规则 可以直接干掉黑洞全系列、上兴全系列、ghost远控全系列等等
。。这可比所谓”云“要快的多了
当然 这些是建立在不断的 高质量的更新的基础上。。。
所以 我也认为 “治本需主动防御” 只是现在还没人能真正的做到
希望微点能快快更新
希望其他厂商制作出更好的.......
| |
※ ※ ※ 本文纯属【liu12345】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
