防挂马不能仅依赖恶意网址收集

前端之家收集整理的这篇文章主要介绍了防挂马不能仅依赖恶意网址收集前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

转自:铁军的杀毒圈子

昨天众多媒体报道瑞星误报google分析站点为恶意网址

相关报道链接http://security.ccidnet.com/art/1099/20090429/1753569_1.html

挂马集团在运行时,也会和商业网站一样进行浏览分析,会使用google、cnzz、vdoing等页面统计工具分析流量。碰巧,这些统计代码连同恶意网址被一起提交,系统就此作出了错误的判断。

在使用google搜索时,google会对相关链接进行安全性判断,同样是基于这个链接在一段时间(通常是一周)有没有被指控带恶意代码,这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时,这个恶意网址库不会更新的很及时,仍然会阻止用户访问曾经被挂马的网站。

金山安全实验室认为维护这样的恶意网址库代价过高,而攻击者只需要不断变换使用新的URL,就可以用非常低的成本突破恶意网址拦截。尽管网盾也会收集恶意网址,但只需要维护一个非常小的恶意网址库,而不需要把被挂马的网站全部列入。

恶意行为拦截:主要拦截漏洞的shellcode,对缓冲区溢出漏洞攻击有很好的效果

异常参数检测:分析最流行的约30种web漏洞挂马

恶意脚本拦截:只用了简单的几条特征就能够识别90%的恶意脚本。

用户浏览网页的角度看防护效果

google或firefox检测到恶意网址时,会阻止访问,提醒用户离开;瑞星是提醒网页有风险,建议离开;而金山网盾的作法是,正常浏览该页面内容自动将有害代码过滤。

网盾已经进入alpha2测试阶段,从各方面的反馈看,拦截效果令人满意。

网页挂马完全绕过金山网盾的条件为:
新Web漏洞且新域名且新ShellCode且不用Heap Spray且新脚本变形且不能与老漏洞混用

原文链接:https://www.f2er.com/javaschema/287702.html

猜你在找的设计模式相关文章