喷子再次上线。
今天看到一篇文章,上来就吐槽SolarWinds供应链事件分析的:
看到这我立马坐不住了,作为喷子我必须喷下。
我们对其文章中提到的两个问题一一回复:
1、“就算你看到这个进程做了通信操作,你能确定这就是个恶意的样本么?“
为何不能?一个可疑样本,你都发现他会回传数据了,会接收命令来执行了,都反弹shell了,还没法判断这是恶意样本?这都不能,哪样才可以?exe写着“我是恶意样本”吗?
2、“我就想问问,FireEye和微软不公开这件事之前,这个样本丢你面前,你能知道是个供应链后门么?“
为何不能?当通过大数据、dns数据、agent等数据抓捕到一个恶意样本,经分析,该可疑样本判断为恶意文件,且:
2.1 是官方下载的
2.2 有官方签名
2.3 大量下载同软件的人都中招了
etc
如果上述条件都满足的情况下,我相信应该有极大的几率判断是官方投毒或供应链攻击了吧。再尔,不能把国外想的那么牛逼,别说什么fireeye公不公开国内能不能发现此类话,难道国内发现不了供应链攻击吗?我相信,只要有数据、流量,发现此类攻击问题不大吧,驱动人生就是一个很好的例子。
因此,希望该公众号作者说话前动点脑子,不要动不动就在那吐槽,别秀智商下限了。
本文始发于微信公众号(千寻瀑):你懂样本分析吗,就在那吐槽?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论