防挂马不能仅依赖恶意网址收集

转自: 铁军的杀毒圈子

 

昨天众多媒体报道瑞星误报google分析站点为恶意网址

相关报道链接:http://security.ccidnet.com/art/1099/20090429/1753569_1.html

挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。

在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。

金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。

防挂马不能仅依赖恶意网址收集_第1张图片

恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果。

异常参数检测:分析最流行的约30种web漏洞挂马

恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。

从用户浏览网页的角度看防护效果:

google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面的内容,自动将有害代码过滤。

网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截的效果令人满意。

网页挂马完全绕过金山网盾的条件为:
新Web漏洞
且新域名
且新ShellCode
且不用Heap Spray
且新脚本变形
且不能与老漏洞混用

你可能感兴趣的:(Web,脚本,Google,工具,firefox,金山)