绕过Cylance：第五部分 - 展望未来

John Strand

我们刚刚完成了一次关于如何在先前的项目中绕过Cylance的演练。为了结束这个激动人心的一周，我想与大家分享一些评论和笔记。

首先，我们是一家渗透测试公司。我们测试客户给我们的内容，而不是供应商希望我们测试的内容。我们测试的是实际应用场景。

有些人指出我们使用的技术很基础。是的，我们使用的许多技术确实非常初级，但它们有效！这本身就质疑了反病毒公司有时做出的营销宣传的有效性。

让我们花点时间谈谈这些营销宣传和NSS报告。为什么像Cylance和CrowdStrike这样的公司在公开测试其产品时如此疯狂？为什么南达科他州的一家小型测试公司会成为人们了解产品局限性的唯一信息来源之一？

我想向Cylance道歉，将他们与CrowdStrike归为一类。Cylance尚未威胁提起诉讼。像CrowdStrike一样，他们的最终用户许可协议（EULA）对讨论、审查或独立分析其产品有疯狂的限制。这就像雪佛兰/福特/丰田每次有关于其车辆的公正调查文章时，就威胁起诉《Car & Driver》或《消费者报告》。这些汽车公司会追捕写博客并在公告板上发布负面体验的车辆客户吗？你能想象如果Cylance/Symantec/Oracle/Microsoft追捕说他们坏话的客户吗？那将是疯狂的——奥威尔式的！

Cylance比大多数传统的黑名单反病毒产品要好得多。当我们测试一家公司时，我们尝试多种类型的恶意软件和命令与控制（C2）。这样我们可以正确识别终端安全工具能检测和不能检测的内容。有许多情况我们期望被检测到，但传统黑名单反病毒很少能做到。在这次测试中，Cylance在许多情况下比传统反病毒表现突出。Cylance确实检测到了一些很酷的东西。很难删减这些信息。但相信我……他们比大多数传统反病毒要好。

总是有人正确地指出白名单未启用，它会阻止我们使用的大多数（如果不是全部）技术。我们对白名单赞不绝口。它是组织可以部署的最伟大的防御措施之一。但它不是Cylance或任何其他供应商独有的魔法。它可以通过组策略通过Applocker或SRP部署——尽管这需要大量的管理开销。因此，声称安全产品因为未启用白名单而表现不佳是无效的。

关键是，白名单是免费的。它不是、不能、也永远不会是某个产品独有的“功能”。所有供应商都有特殊的选项和配置，这些很好，但在现实世界中很少实施。

许多终端安全产品中有可以关闭大多数攻击的功能。通常，这些功能从未完全启用/部署。是因为产品有缺陷吗？不一定。通常这些功能被禁用是因为它们可能会降低工作效率或产生意外的IT管理成本，从而降低安全解决方案的有效性。

行业希望安全产品只需很少或无需交互即可工作。他们想要简单的按钮。

Cylance对人工智能做出了惊人的宣称，声称他们将使所有其他反病毒过时。甚至能够预测未来的攻击！我想相信这一点，我真的想……但是，从我们所看到的来看，这些宣称还有很长的路要走。我会说，这个产品有一个 brilliant 的概念，它是朝着正确方向迈出的一步；尽管可能在没有达到最佳状态之前就匆忙上市。

那么我们能从中学到什么？有几件事。

首先，这凸显了对安全产品进行更全面、公正测试的需求。我们看到了一些报告，比如最近的NSS Labs报告，这些报告还有很大的改进空间。

其次，仍然没有银弹。这个行业的营销利用银弹来解决我们对吸血鬼的恐惧，但没有这样简单的解决方案。即使Cylance也不是营销宣称的终极解决方案，至少现在不是——有许多聪明的人在后端努力工作。

总之，如果没有银弹，我们需要什么？架构。我们应该关注应用程序的白名单和出口互联网访问。

在任何情况下，都不要相信转向白名单或高级终端产品会是一个简单的修复。你需要努力正确实施它。你需要有更多的工作人员来保持这些产品的运行和满意。

每次你按下简单的按钮，上帝就会在你的网络上部署另一个机器人。

停止。按下。简单的。按钮。

来自南达科他州的问候， John

我们所做的许多工作基于Casey Smith和@_TacoRocket的现有研究。阅读Colby Farley的博客 here： https://pwningroot.com/ *以及Casey Smith之前的博客 他们真的很棒，任何时候测试高级终端安全产品时，都应该挖掘他们的技巧、窍门和提示。

评论

Ryan - 2017年3月31日 @ 7:10 am
我很感兴趣你们是否在客户环境中做过类似的测试来绕过CrowdStrike？（不仅仅是他们的下一代反病毒）而是他们的全套工具。 干得好！

tangent - 2017年4月1日 @ 12:33 am
我们目前正在测试6种终端解决方案，包括Cylance和Crowdstrike。 在测试了数千个已知的、个人变异的文件、脚本、混淆恶意软件，现在进入无文件测试后，我100%同意John在这篇文章中的评论。 我们测试的每一种解决方案都有很大的优势和弱点。这次测试的现实不是哪种解决方案更好或更差，老实说一开始是这样的。事实上，我们的测试帮助我们识别了安全架构中的安全缺陷。正如John所指出的，我们发现没有“银弹”，每种解决方案以不同的方式解决不同的问题。 无论我们选择哪种解决方案来解决业务问题，有一件事是肯定的，这些产品只是另一种补偿控制，是当其他强化控制无法实施时，我们安全架构中的最后一道防御层。 John，我很欣赏你在最后一篇博客文章中对这些供应商及其解决方案的尊重。作为安全专业人士，我们都可以扔第一块石头，并就什么是“最佳”产品发表意见，但先看看你自己的后院。归根结底，问题总是回到架构和网络上实施的控制。

Rony Michaely - 2017年4月1日 @ 4:32 pm
自称NextGen的供应商从未听说过系统和应用程序卫生。术语BHO不在他们的词典中，恶意浏览器插件也不在。他们展示有趣的“高级威胁”演示，显示他们无法理解、模拟或预防的恶意混淆JS的Web Born攻击，只是为了显示他们在PE负载检测上运气好。当然，还有其他他们无法检测的PE负载，高级攻击不一定需要PE来完成完整的攻击链。如何改变市场意识？也许从“亲爱的CISO，我们很抱歉认为你是一个愚蠢的安全采购经理，此致敬礼，NexGen Proclaimer”的活动开始。 https://www.linkedin.com/pulse/marketing-vs-reality-cylance-smoke-mirrors-rony-michaely

JOHN STRAND - 2017年4月3日 @ 9:22 am
哇……只是哇。 过去两天有两三个人提供了额外的绕过技术。 还有一些关于这些公司对测试公司采取法律行动的故事。或者更糟的是，对他们自己的客户。 我们还没有从Cylance看到这一点…… yet。 John