查看: 26869|回复: 114
收起左侧

[分享] 17年4月漏洞防护/路过式下载防护测试

  [复制链接]
B100D1E55
发表于 2017-6-24 10:01:41 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-6-24 10:04 编辑

近日波兰的测试机构AvLab放出今年4月的漏洞防护/路过式下载防护测试
近年来路过式下载攻击越来越常见,常见流程如下图



1. 用户访问正常站点
2. 恶意广告将用户重定向到一个被攻陷的网站
3. 另一个重定向将用户导引到另一个包含漏洞攻击的网站
4. 网站扫描用户的安全漏洞(例如未及时更新的软件)
5. 通过漏洞在目标电脑上部署恶意程序

黑客市场上早已有漏洞的“订阅”服务,只要肯花钱就可以订阅相应的漏洞利用软件包用来攻陷那些没有及时更新软件的电脑。常见的这些漏洞包包括Rig Exploit Kit, Neutrino Exploit Kit,Kaixin Exploit Kit等等

测试环境:Win10 X64
测试使用:
1)一个恶意程序(大部分安软都侦测不出来)
2)Firefox CVE 2016-9709漏洞
3)Metasploit框架

测试分为F测试(测试一)和S测试(测试二)
F测试:自动注入恶意程序并建立远程连接。如果安软没有在浏览器层防住攻击,那么攻击就会渗透到本地运行,将使用PowerShell执行。测试一会进一步检查一些借由可信进程(例如PowerShell)进行的攻击是否会被特征扫描/启发扫描所阻挡,如果不能的话会不会在最终被杀软的IDS/IPS阻挡。
S测试: 模拟用户打开一个网站,这个网站包含一个混效果的JS将会重定向到一个漏洞攻击网站。恶意程序和F测试相同,但使用的是社工手段

测试结果表明就算使用的测试恶意文件是相同的,在F测试和S测试中,由于源进程不同(一个是PowerShell,一个是浏览器),测试的结果也大不相同。

测试图解:

1)exe文件防御1
2)bat文件防御
3)exe文件防御2
4)docx文件防御
5)odt文件防御(Open Office等)
[F]代表F测试 [S]代表S测试

1/-/-/- 代表在网页防护扫描或者入口点漏洞防护的时候就被阻拦
0/1/0/0 代表特征拦截
0/0/1/- 代表主动防御/启发式拦截 (恶意文件已经开始执行)
0/0/0/1 代表最后防线(IPS/IDS)拦截

“- ”代表未测试(若前一道防线已经拦截,后续就不再测试)

绿色代表完全拦截;黄色代表虽然本机恶意程序被拦截,但危险链接仍然没有被阻断,黑客可以继续用其他手段攻击;红色代表被攻陷

企业解决方案测试结果



个人解决方案测试结果:






测试结果发现很多安软对系统本地解释器(cmd,powershell等)都缺乏相应防护规则,而这些通常是黑客喜欢使用的攻击手段。例如黑客可以使用PowerShell将Office宏警告通过修改注册表屏蔽……

其他详细内容参见原文。这个测试还挺有意思的,所以就转一下

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7分享 +1 人气 +8 收起 理由
小小瞻 + 1 版区有你更精彩: )
dongwenqi + 1 版区有你更精彩: )
屁颠屁颠 + 1 + 1 版区有你更精彩: )
HEMM + 1 红绿灯!突然发现我看懂惹~红灯停绿灯行
墨家小子 + 1 anti exploit才是王道

查看全部评分

猪头无双
头像被屏蔽
发表于 2017-6-24 13:43:31 | 显示全部楼层
其实简单来说,就是绿色越多越NB

F/S那块,数字越靠前,拦截越早越NB

按照这个标准来看,基本就能理解这个报告中杀软谁“好”谁“坏”了,虽然其实都差不多少。
nonote
头像被屏蔽
发表于 2017-6-24 10:14:08 | 显示全部楼层
sep呢?
dongwenqi
发表于 2017-6-24 11:10:55 | 显示全部楼层
还是卡巴斯基最牛了
猪头无双
头像被屏蔽
发表于 2017-6-24 11:21:44 | 显示全部楼层
测试报告里最终排名那一堆外文是波兰文?为毛没有英文?
qftest
发表于 2017-6-24 11:27:26 | 显示全部楼层
再次说明需要启用杀软自身的程序启动控制功能,或者搭配类似于ERP的防调用工具
可惜没看到Emsisoft的成绩
EMSI本身虽然具有防御powershell脚本的能力,但却不防cmd/regsvr32/wscript

评分

参与人数 1人气 +1 收起 理由
猪头无双 + 1 你还能怎么办,当然是选择原谅他啊!:)

查看全部评分

猫大人
发表于 2017-6-24 12:03:48 | 显示全部楼层
FS单纯调用系统墙还是不够给力的意思吗
cemiko 该用户已被删除
发表于 2017-6-24 12:15:31 | 显示全部楼层
本帖最后由 68221281 于 2017-6-24 12:42 编辑

IPS/IDS不应该是入口处的吗,怎么比主防的拦截点还要晚啊
以及本以为赛门铁克应该成绩最好,结果没想到,拦截最靠前的居然是BD和卡巴斯基。果然挺符合很多测试的顺序,BD≥卡巴斯基>诺顿。
COMODO默认设置是没开HIPS的吧,好惨啊。。。

西瓜君
发表于 2017-6-24 12:40:44 | 显示全部楼层
不会吧,趋势成绩这么不好啊
B100D1E55
 楼主| 发表于 2017-6-24 12:42:45 | 显示全部楼层
猪头无双 发表于 2017-6-24 11:21
测试报告里最终排名那一堆外文是波兰文?为毛没有英文?

你不说我都没注意……还很贴心的专门把没防火墙那几个列出来排了个名
B100D1E55
 楼主| 发表于 2017-6-24 12:43:53 | 显示全部楼层
qftest 发表于 2017-6-24 11:27
再次说明需要启用杀软自身的程序启动控制功能,或者搭配类似于ERP的防调用工具
可惜没看到Emsisoft的成绩
...

额。。。不防那几个有什么理由吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:30 , Processed in 0.120442 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表