NIS2011的IPS终于被穿了

轩、

klinxun 发表于 2011-6-20 20:51
有些是化石漏洞了……其实勤更新系统，软件才好的。

是的、可是那个软件我是最新了的呀…之前第二页看人截图只有很少的漏洞……

klinxun

轩、 发表于 2011-6-20 20:53
是的、可是那个软件我是最新了的呀…之前第二页看人截图只有很少的漏洞……

他截图截得猥琐罢了。

認真就輸了！

klinxun 发表于 2011-6-20 12:56
终于被穿了，好在穿了后还能干掉……

但是损失呢

hx1997

wjcharles 发表于 2011-6-20 18:59
只要不出现windows内核级的漏洞，病毒出不了chrome的沙箱的。。。

那是挂马
用户手动下载的病毒似乎就没办法了

klinxun

mc- 发表于 2011-6-20 22:38
但是损失呢

看看样本具体什么行为吧。不过如果等到行为分析，回滚的话，也太迟了。

hj5abc

其实有点不明白，IPS是检测下载的SWF而判断出漏洞攻击 还是 SWF已经下载至缓存并执行后产生的漏洞代码被拦截？

我以为是后者，因为如果是下载时检测，那么和WEB病毒库的拦截有什么不同，而且如果是网络通讯中包含了该SWF的数据应该是不能被检测出来的

wjcharles

hj5abc 发表于 2011-6-21 01:18
其实有点不明白，IPS是检测下载的SWF而判断出漏洞攻击 还是 SWF已经下载至缓存并执行后产生的漏洞代码被拦截 ...

见15L，应该是1L第二个网址有问题，
ips貌似是是监测网络通信中的漏洞利用特征，理论上是在文件到达硬盘缓存文件夹之前就拦截的；事实上以我不多的测试，ips对网页上的漏洞特征比较敏感，我翻了几十条纪录，显示攻击发起者大多是XXX.html，即针对IE漏洞的；而遇到利用swf溢出攻击的，nis大都是在本地才拦截swf文件的（自动防护，有具体临时文件夹位置，比如1L那个nb.swf）。于是可以看到，如果是ips拦截，本地硬盘是不会有改动的，而Web防护应该类似于对缓存的自动防护。
另外有可能正如你所说，就是因为网络通讯中检测不出swf数据，nis才不得不放到本地拦截，而容易监测的网页代码就由ips解决了。

wjcharles

mc- 发表于 2011-6-20 22:38
但是损失呢

就本次情况，没有任何损失，因为sonar比较偏重沙箱内的启发分析，根据日志并没有回滚发生，也就是说没有对实机造成影响
如果样本过了这一步进入实机，与其他的多步主防比较，我对sonar的回滚能力持保留态度

wjcharles

klinxun 发表于 2011-6-21 00:22
看看样本具体什么行为吧。不过如果等到行为分析，回滚的话，也太迟了。

幸好这个样本直接在sonar沙箱里被启发掉了

zhilu

wjcharles 发表于 2011-6-21 02:05
见15L，应该是1L第二个网址有问题，
ips貌似是是监测网络通信中的漏洞利用特征，理论上是在文件到达硬盘 ...

所以正确来说应该是被绕过而不是被穿