17年4月漏洞防护/路过式下载防护测试

B100D1E55

近日波兰的测试机构AvLab放出今年4月的漏洞防护/路过式下载防护测试
近年来路过式下载攻击越来越常见，常见流程如下图



1. 用户访问正常站点
2. 恶意广告将用户重定向到一个被攻陷的网站
3. 另一个重定向将用户导引到另一个包含漏洞攻击的网站
4. 网站扫描用户的安全漏洞（例如未及时更新的软件）
5. 通过漏洞在目标电脑上部署恶意程序

黑客市场上早已有漏洞的“订阅”服务，只要肯花钱就可以订阅相应的漏洞利用软件包用来攻陷那些没有及时更新软件的电脑。常见的这些漏洞包包括Rig Exploit Kit， Neutrino Exploit Kit，Kaixin Exploit Kit等等

测试环境：Win10 X64
测试使用：
1）一个恶意程序（大部分安软都侦测不出来）
2）Firefox CVE 2016-9709漏洞
3）Metasploit框架

测试分为F测试（测试一）和S测试（测试二）
F测试：自动注入恶意程序并建立远程连接。如果安软没有在浏览器层防住攻击，那么攻击就会渗透到本地运行，将使用PowerShell执行。测试一会进一步检查一些借由可信进程（例如PowerShell）进行的攻击是否会被特征扫描/启发扫描所阻挡，如果不能的话会不会在最终被杀软的IDS/IPS阻挡。
S测试: 模拟用户打开一个网站，这个网站包含一个混效果的JS将会重定向到一个漏洞攻击网站。恶意程序和F测试相同，但使用的是社工手段

测试结果表明就算使用的测试恶意文件是相同的，在F测试和S测试中，由于源进程不同（一个是PowerShell，一个是浏览器），测试的结果也大不相同。

测试图解：

1）exe文件防御1
2）bat文件防御
3）exe文件防御2
4）docx文件防御
5）odt文件防御（Open Office等）
[F]代表F测试 [S]代表S测试

1/-/-/- 代表在网页防护扫描或者入口点漏洞防护的时候就被阻拦
0/1/0/0 代表特征拦截
0/0/1/- 代表主动防御/启发式拦截 （恶意文件已经开始执行）
0/0/0/1 代表最后防线（IPS/IDS）拦截

“- ”代表未测试（若前一道防线已经拦截，后续就不再测试）

绿色代表完全拦截；黄色代表虽然本机恶意程序被拦截，但危险链接仍然没有被阻断，黑客可以继续用其他手段攻击；红色代表被攻陷

企业解决方案测试结果：



个人解决方案测试结果：






测试结果发现很多安软对系统本地解释器（cmd，powershell等）都缺乏相应防护规则，而这些通常是黑客喜欢使用的攻击手段。例如黑客可以使用PowerShell将Office宏警告通过修改注册表屏蔽……

其他详细内容参见原文。这个测试还挺有意思的，所以就转一下

猪头无双

其实简单来说，就是绿色越多越NB

F/S那块，数字越靠前，拦截越早越NB

按照这个标准来看，基本就能理解这个报告中杀软谁“好”谁“坏”了，虽然其实都差不多少。

nonote

sep呢？

dongwenqi

还是卡巴斯基最牛了

猪头无双

测试报告里最终排名那一堆外文是波兰文？为毛没有英文？

qftest

再次说明需要启用杀软自身的程序启动控制功能，或者搭配类似于ERP的防调用工具
可惜没看到Emsisoft的成绩
EMSI本身虽然具有防御powershell脚本的能力，但却不防cmd/regsvr32/wscript

猫大人

FS单纯调用系统墙还是不够给力的意思吗

IPS/IDS不应该是入口处的吗，怎么比主防的拦截点还要晚啊
以及本以为赛门铁克应该成绩最好，结果没想到，拦截最靠前的居然是BD和卡巴斯基。果然挺符合很多测试的顺序，BD≥卡巴斯基>诺顿。
COMODO默认设置是没开HIPS的吧，好惨啊。。。

西瓜君

不会吧，趋势成绩这么不好啊

B100D1E55

猪头无双 发表于 2017-6-24 11:21
测试报告里最终排名那一堆外文是波兰文？为毛没有英文？

你不说我都没注意……还很贴心的专门把没防火墙那几个列出来排了个名

B100D1E55

qftest 发表于 2017-6-24 11:27
再次说明需要启用杀软自身的程序启动控制功能，或者搭配类似于ERP的防调用工具
可惜没看到Emsisoft的成绩
...

额。。。不防那几个有什么理由吗