NIS2011的IPS终于被穿了

显示全部楼层 · 发表于 2011-6-20 13:57:39

wjcharles 发表于 2011-6-20 13:53
那个swf不管，既然被实时防护杀了应该不会有什么问题；关键是看下面的sonar记录，傲游释放的svchost已经 ...

过了ips那就是进到本地了，IPS又不是本地防护

显示全部楼层 · 发表于 2011-6-20 14:02:19

zhilu 发表于 2011-6-20 13:57
过了ips那就是进到本地了，IPS又不是本地防护

那个svchost已经进入本地，并且自动运行了，这才是关键，以前即使有样本被下载到缓存里，相关的提权之类的代码还是会被ips拦截，样本根本不会运行；这次是完整实现了攻击者的预期过程，sonar在最后才拦下来

显示全部楼层 · 发表于 2011-6-20 14:05:18

本帖最后由 zhilu 于 2011-6-20 14:17 编辑

wjcharles 发表于 2011-6-20 14:02
那个svchost已经进入本地，并且自动运行了，这才是关键，以前即使有样本被下载到缓存里，相关的提权之类的 ...

会不会被IPS拦截是看是否有调用已知漏洞的情况

就算过了sonar也不要紧，那还不是最后防线，最后防线是ghost，虽然无耻了点，怎么的也是铁壳自家的招牌数据安全软件，哈哈，其他板块没这种待遇的，我们可以把ghost名正言顺的祭出来做最后防线

显示全部楼层 · 发表于 2011-6-20 14:34:04

swf病毒这几天横行啊....

显示全部楼层 · 发表于 2011-6-20 14:57:15

本帖最后由 jefffire 于 2011-6-20 15:08 编辑

那个nb.swf 没看出问题

banner.swf有问题，CVE-2011-0611，已经入库
http://www.symantec.com/business ... tail.jsp?asid=24212

诺顿对漏洞收集的似乎不太全http://www.symantec.com/business ... ignatures/index.jsp

显示全部楼层 · 发表于 2011-6-20 15:11:03

不对，漏洞库是全的。http://www.symantec.com/business ... vulnerabilities.jsp不过在NIS的“漏洞防护”上看不出来

显示全部楼层 · 发表于 2011-6-20 15:17:09

本帖最后由 zhilu 于 2011-6-20 15:21 编辑

jefffire 发表于 2011-6-20 15:11
不对，漏洞库是全的。http://www.symantec.com/business ... vulnerabilities.jsp不 ...

诺顿在更新的时候入侵定义那里也是没准的一会多几条一会又少几条,并不是一直往上累加，似乎是根据当时漏洞利用的多寡在调整

显示全部楼层 · 发表于 2011-6-20 15:20:37

zhilu 发表于 2011-6-20 15:17
诺顿在更新的时候入侵定义那里也是没准的一会多几条一会又少几条

坑爹了，Flash player的漏洞定义才4条

显示全部楼层 · 发表于 2011-6-20 15:26:58

jefffire 发表于 2011-6-20 15:11
不对，漏洞库是全的。http://www.symantec.com/business/security_response/landing/vulnerabilities.jsp不 ...

这个漏洞库会不会是指symantec已确认的漏洞，而不是已入ips特征库的漏洞？
另外ips貌似是把漏洞利用代码入库，所以有防护的空窗期是必然的
看来应该是那个韩国网站导致的。。。

显示全部楼层 · 发表于 2011-6-20 15:32:04

jefffire 发表于 2011-6-20 15:20
坑爹了，Flash player的漏洞定义才4条

你还没发现更坑的，这4条定义全是flash9.0以下版本的漏洞

[讨论] NIS2011的IPS终于被穿了