关于微步云沙箱一起溯源误判事件的声明

  • A+
所属分类:安全闲碎


关于微步云沙箱一起溯源误判事件的声明


微步云沙箱(s.threatbook.cn)是一个免费的在线工具,帮助安全运营人员分析可疑文件。
近日,由于微步云沙箱对一个攻击样本的自动溯源误判了攻击者的身份,给广大沙箱用户和启明带来了困扰,在此,我们深表歉意
 
经过复盘分析,我们发现误判源于云沙箱近期上线的自动化溯源功能(Beta),该功能是为了提升用户对攻击者判定和自动化溯源的效率,降低分析难度。


现将整个事件过程及我们的反思分享如下

关于微步云沙箱一起溯源误判事件的声明 4月13日17时15分,微步在线云沙箱上线测试自动化溯源模块。

关于微步云沙箱一起溯源误判事件的声明 4月13日晚,云沙箱收到一例用户提交的样本文件,并将其自动判定为“疑似启明攻击队ZPY的CS木马HTTP通信”。

检测效果如下图(溯源归因出现误判):

关于微步云沙箱一起溯源误判事件的声明


关于微步云沙箱一起溯源误判事件的声明 4月14日上午11时27分,我们发现自动溯源功能的部分检测逻辑存在瑕疵,将该功能下线该功能在线时间约18小时。

关于微步云沙箱一起溯源误判事件的声明 4月19日下午,微步分析师和产品团队修复了自动溯源模块的归因错误,并重新上线该功能。
在新的检测逻辑中,我们增加了正确的攻击者归因(并已得到 Red Team 兄弟确认),但出于信息保护目的,我们决定不披露相关信息。
目前对该样本的自动溯源判定如下图:

关于微步云沙箱一起溯源误判事件的声明


 
为什么会出现误判?

云沙箱是微步打磨了近6年的免费工具,为打造自动溯源模块,我们收集和分析了过去几年诸多攻击者常用的 webshell、专用木马、魔改开源木马、攻击工具等样本,提取了对应的 TTPs(技战法)。但事实可见,Red Team 兄弟们技高一筹,我们的自动判定不够严谨。


经过此次事件,我们认识到特殊时期沙箱的自动化溯源虽然提升了效率,但也应像生产情报一样严谨、可靠、低误报。自动化溯源还有很长的路要走。对我们来说,这次误报将成为宝贵的经验,我们会不断更新优化相关算法和规则。


您的每一次使用和每一点建议,都将成为云沙箱的珍贵养分,帮助它茁壮成长,反哺安全社区,为网络安全行业做出贡献。


在此,再一次对广大用户和启明致以真诚的歉意。



北京微步在线科技有限公司
2021年4月21日


关于微步云沙箱一起溯源误判事件的声明

本文始发于微信公众号(安全威胁情报):关于微步云沙箱一起溯源误判事件的声明

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: