防挂马不能仅依赖恶意网址收集
2009-11-26 20:02
239 查看
转自: 铁军的杀毒圈子
昨天众多媒体报道瑞星误报google分析站点为恶意网址
相关报道链接:http://security.ccidnet.com/art/1099/20090429/1753569_1.html
挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。
在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。
金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。
恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果。
异常参数检测:分析最流行的约30种web漏洞挂马
恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。
从用户浏览网页的角度看防护效果:
google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面的内容,自动将有害代码过滤。
网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截的效果令人满意。
网页挂马完全绕过金山网盾的条件为:
新Web漏洞
且新域名
且新ShellCode
且不用Heap Spray
且新脚本变形
且不能与老漏洞混用
昨天众多媒体报道瑞星误报google分析站点为恶意网址
相关报道链接:http://security.ccidnet.com/art/1099/20090429/1753569_1.html
挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。
在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。
金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。
恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果。
异常参数检测:分析最流行的约30种web漏洞挂马
恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。
从用户浏览网页的角度看防护效果:
google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面的内容,自动将有害代码过滤。
网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截的效果令人满意。
网页挂马完全绕过金山网盾的条件为:
新Web漏洞
且新域名
且新ShellCode
且不用Heap Spray
且新脚本变形
且不能与老漏洞混用
相关文章推荐
- 实用网址资源集锦 -- 收集
- 网络上收集的一些有用的网址
- 归类网址收集
- larbin学习网址收集
- 个人网址收集
- 优秀网址收集
- Seo常用网址收集
- 网址收集
- 常用网址收集
- 常用资源及网址收集(不断更新)
- 因挂起操作而不能安装SQL Server的问题解决方法【收集分享】
- 收集的SEO相关工具&网址
- 日常收集有用的网址:
- 收集网址
- 常用网址收集
- 牛人博客网址收集
- 收集的编程学习的网址
- 解决自定义securityMetadataSource不能使用依赖注入的问题,nullpointer问题,空指针问题
- (转)Java实现利用搜索引擎收集网址的程序
- 【问题收集·知识储备】Xcode只能选择My Mac,不能选择模拟器如何解决?