防挂马不能仅依赖恶意网址收集
|
转自:铁军的杀毒圈子 昨天众多媒体报道瑞星误报google分析站点为恶意网址 相关报道链接:http://security.ccidnet.com/art/1099/20090429/1753569_1.html 挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。 在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。 金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。 恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果。 异常参数检测:分析最流行的约30种web漏洞挂马 恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。 从用户浏览网页的角度看防护效果: google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面的内容,自动将有害代码过滤。 网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截的效果令人满意。 网页挂马完全绕过金山网盾的条件为: (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |