Exploit:SWF/CVE-2014-0497.B

vdmcontrol

尘梦幽然 发表于 2014-5-4 12:48
赛门铁克全线仍在维护的防病毒产品，包括诺顿反病毒，SEP的最基础版本，都带IPS。希望你了解清楚赛门铁克 ...

MSE自己就是基线，而且它不是入库而是真正深入解析特征了，赛门铁克这种只能靠入库说明本地产品能力严重不足

举个例子，1776那个漏洞嵌入flash的，如果只靠IPS扫，就扫不到因为漏洞代码到本地才解密展开，对抗漏洞攻击依赖IPS这种只能是落后不负责任而且能力不足不思进取的表现。

尘梦幽然

vdmcontrol 发表于 2014-5-4 13:12
MSE自己就是基线，而且它不是入库而是真正深入解析特征了，赛门铁克这种只能靠入库说明本地产品能力严 ...

叹，所以我都说过了按需使用本地特征。
http://bbs.kafan.cn/thread-1726323-1-1.html
1776这个赛门铁克有专门添加本地特征的。

vdmcontrol

尘梦幽然 发表于 2014-5-4 13:19
叹，所以我都说过了按需使用本地特征。
http://bbs.kafan.cn/thread-1726323-1-1.html
1776这个赛门铁 ...

这跟按需没有关系，今天1776加密，明天0497也可以加个密，不一样的漏洞同样的利用方法，一样的漏洞不同的利用方法，赛门铁克就抓瞎了，这就叫技术落后看不懂本质且又不负责。

另外1776加了本地特征VT上怎么还是扫不到呢？太扯～

尘梦幽然

vdmcontrol 发表于 2014-5-4 13:20
这跟按需没有关系，今天1776加密，明天0497也可以加个密，赛门铁克就抓瞎了，这就叫技术落后看不懂本质 ...

IPS也并非不能解密。IPS本身带一些解密能力。
到了本地后解密，若还有网络操作，还可以拦截。
你可以看到，就算在没有入库的情况下，把这些flash文件在本地运行，触发漏洞，出现行为，SONAR会报的。

vdmcontrol

尘梦幽然 发表于 2014-5-4 13:23
IPS也并非不能解密。IPS本身带一些解密能力。
到了本地后解密，若还有网络操作，还可以拦截。
你可以看 ...

类似1776这种解密在IPS上是做不了的。

有网络操作再拦截早就GAME OVER了，你到底懂不懂啊～还改成EXE运行，攻击者做漏洞攻击时会给你改成EXE运行？

另外看了下VT，就算你号称加了本地规则的1776，赛门铁克也应该就是MD5拉黑或者类似的特征拉黑，根本就没深入解析样本的攻击代码来加规则，因此稍微变形几下或者解压的就扫不到了，MSE就没这个问题。

尘梦幽然

vdmcontrol 发表于 2014-5-4 13:25
类似1776这种解密在IPS上是做不了的。

有网络操作再拦截早就GAME OVER了，你到底懂不懂啊～还改成EX ...

本地执行时有行为拦了就行。

vdmcontrol

尘梦幽然 发表于 2014-5-4 13:31
本地执行时有行为拦了就行。

那就不用扯什么检出、什么漏洞防护，什么杀毒，什么IPS了，搞个HIPS不就完了，越扯越露怯了，来个内核漏洞什么行为拦截都是废土。

就不说别的，说到HIPS，赛门铁克也差着远得很。

尘梦幽然

vdmcontrol 发表于 2014-5-4 13:35
那就不用扯什么检出、什么漏洞防护，什么杀毒，什么IPS了，搞个HIPS不就完了，越扯越露怯了，来个内核漏 ...

那是你的防护观念了。
为了做到易用性与安全性的平衡，所以才设计了多重立体防护机制
不同的客户不同的需求不同的防护。给诺顿客户群体用HIPS并不符合诺顿产品的定位。
如果想知道更多信息，可以问问响应中心的员工。新浪微博上有很多。也可以发邮件去质询。
或者你可以去赛门铁克社区上质询。
P.S.对于特定的客户有特定的解决方案，SCSP只是其中之一。

vm001

vdmcontrol 发表于 2014-5-4 13:35
那就不用扯什么检出、什么漏洞防护，什么杀毒，什么IPS了，搞个HIPS不就完了，越扯越露怯了，来个内核漏 ...

嗨...这是怎么回事？
360卫士7.61002C 最新版本了，360杀毒5.0.1.5044B最新版本了，一样是没有拦截，扫描也没报啊..



扫描文件总数：1
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：否
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：未使用

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\bc00b11fead55c5c6810bffd332309ce09e07f8e9ded53c361813427fb1ee244\bc00b11fead55c5c6810bffd332309ce09e07f8e9ded53c361813427fb1ee244.swf


白名单设置
----------------------


扫描结果
======================
未发现威胁文件

vm001

补楼上，360杀毒也是md5拉黑啊



查杀md5  746E6437FB8FDF5F863214C5EF5D1EFC

360杀毒扫描日志

病毒库版本：
扫描时间：2014-05-04 13:48:18
扫描用时：00:00:01
扫描类型：右键扫描
扫描文件总数：1
项目总数：1
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：否
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：未使用

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\cve-2014-17760\cve-2014-1776.swf


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\cve-2014-17760\cve-2014-1776.swf        virus.exp.cve.2014.1776        未处理



哑火的md5  A46E54AC2D2F3ED82D5D295881E8E829

360杀毒扫描日志

病毒库版本：
扫描时间：2014-05-04 13:54:55
扫描用时：00:00:01
扫描类型：右键扫描
扫描文件总数：1
项目总数：0
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：否
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：否
常规引擎设置：未使用

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\cve-2014-1776\cve-2014-1776.swf


白名单设置
----------------------


扫描结果
======================
未发现威胁文件