》上次去和一个客户交流,聊到杀毒软件,客户说:‘我选择杀毒软件的标准就是看哪个界面好看,所以我会用那个'。我:“能防病毒防攻击的杀毒软件就选哪个吧?”客户:“杀毒软件都是一样的,没有区别。”我:你听谁说杀毒软件都一样?客户:“XXX公司的人说杀毒软件都一样,都是靠病毒库,无非就是谁谁多谁少,差别不大,既然这样,我就选一个。?看那个顺眼又便宜的就对了。我:……”这是真人对话。上次参加安全会议,有专家说:甲方也要了解安全知识,不然就被乙方强奸了,说什么就做什么。当你想到它时,它是真实的。制定一个测试计划。分享给大家。本文分为以下几个部分:1.测试目的2.了解病毒传播方式3.了解黑客攻击方式4.测试方法5.测试过程01.测试目的近两年,有病毒,尤其是勒索病毒的消息层出不穷,给企业造成了巨大的损失。勒索病毒是一种流行的病毒,通过骚扰、恐吓甚至绑架用户文件,使用户的数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主要通过漏洞利用、暴力破解RDP弱口令、钓鱼邮件、网页木马等形式传播。该病毒使用各种加密算法对文件进行加密,并向文件所有者索要赎金。如果感染者拒绝支付赎金,则无法获取加密私钥,无法恢复文件。关于勒索病毒的更多知识,可以参考我之前的文章,或者在这个公众号勒索病毒专题中查看。本测试方案的目的是测试不同杀毒软件在防止病毒攻击方面的反应,从而找出最适合本单位的杀毒软件产品。下面以最近发生的勒索病毒为例,介绍一下如何测试杀毒软件。强调一下,这是针对甲方用户和普通爱好者的,不是针对专业人士的。如果你觉得我写的不对,欢迎讨论。02、了解病毒的传播途径要知道如何选择合适的杀毒软件,首先要了解病毒的工作流程,也就是说病毒是如何侵入我们的电脑的。先说一下常规的病毒传播方式:1.通过移动媒体传播。比如CD、U盘、移动传输盘等,最常见的就是U盘。2.通过文件和程序传播。3.通过网络传播。如网页、邮件等。4、通过局域网传播。比如漏洞、共享等。在最基础的层面上,杀毒软件应该具备阻断常规传播途径的能力,比如拦截U盘、网页、邮件、分享等形式的病毒源。除了上述常规的传播途径外,还有一种更高级的方法,就是通过黑客主动传播。根据我们广泛的取证分析,我们得出的结论是,目前勒索病毒的感染方式除了少量的邮件钓鱼和网站挂载外,绝大部分来自黑客攻击。因为背后有人攻击,所以也是最难防的。黑客攻击的过程一般如下:①.通过社工等多种方式获取目标客户的IP地址(如果不是特殊的APT攻击,黑客一般会直接进入第二步)②。通过端口扫描,找到电脑开放的端口,尤其是3389、445等高危端口③,获取权限。找到特定端口的开放信息后,利用密码爆破或端口的漏洞进行攻击,进而获得管理员权限。④、内网搜索。也就是说,横向渗透。黑客在获得局域网内一台电脑的权限后,会对内网电脑进行同样的端口扫描和密码爆破,获取内网电脑的用户名和密码。⑤.登录服务器,关闭杀毒软件。植入后门和勒索木马,对特定电脑进行加密勒索。⑥、去除痕迹。黑客完成勒索操作后,通常会新建一个具有管理员权限的用户或植入木马,然后试图清除他留下的痕迹。当然,黑客也可以通过近场攻击来进行攻击,比如BADUSB。“BadUSB”设备类似于U盘,但它不是U盘(系统将其识别为键盘,因此终端管理程序对其无效)。它模拟键盘操作,一旦插入电脑,就会自动执行预设的指令进行攻击。只要用户利用社会工程学将其插入电脑,它就会自动执行黑客事先准备好的恶意代码,无需人工参与。结束。看整个攻击过程,是不是你想象中的杀毒软件只有在第五步植入病毒后才能起作用?因为杀毒软件一般只对文件中的恶意代码进行扫描查杀,所以如果没有形成文件(比如最近流行的无文件攻击),那么传统的杀毒软件其实是很难防范的。回到上面提到的问题,如果你要问,我想买杀毒产品,哪个厂家比较好?据说某产品排名第一,是不是最好的?这样的问题其实很难回答。当然,产品性能也有差异,有些差异很大。什么样的产品适合你?为什么有的贵有的便宜?有什么不同?许多用户都对这个问题感到疑惑。产品只是解决你的一些问题的工具,所以对你来说最重要的是了解你的需求,梳理你的业务,知道你想要什么,然后根据你的需求找到你想要的。简单多了。如果我们要防范勒索软件,那么既然知道了黑客的攻击流程,那么只要能够有效地阻止攻击的每一步,就可以最大限度的防范勒索软件。我们在选择一个产品的时候,只要验证它是否能够有效的阻止这些攻击过程,我们就知道这个产品是不是我们需要的产品。下面我们就来看看杀毒产品有哪些功能可以抵御黑客攻击。有效预防:??03.了解攻击方法。在测试之前,我们先来分解梳理一下黑客的攻击流程(除了APT攻击,黑客都会针对特定的IP进行攻击,一般黑客都是胡乱攻击的,所以我们先从第二步端口扫描说起):2.1.端口扫描观察近几年勒索病毒的爆发。爆发。例如,第一次大规模的勒索病毒爆发就是从著名的“永恒之蓝”漏洞开始的。除了系统漏洞,第三方程序也存在漏洞,比如著名的JBossWeb服务器、WebLogicWeb中间件、AdobeFlash等。问题漏洞。一旦漏洞爆发,黑客可以根据这些应用程序使用的端口进行扫描。一旦打开这些端口的IP被扫描到,黑客就可以进行下一步。在这一步中,可以有效预防的方法有:打补丁、主机入侵防御系统(HIPS),还有一种是使用防火墙规则设置ACL。比如WebLogic,它只是一个web中间件,不需要对外提供任何服务,只需要为web服务器和数据库服务器提供服务,所以只需要在防火墙上设置规则只允许它与网络服务器和数据库服务器进行通信。通信,即使它是脆弱的,如果它不被暴露,也不容易受到攻击。这里的防火墙指的是主机防火墙(HFW)。在这一步中,其实微软远程桌面的3389端口用的最多。很多人会为了方便而开启远程桌面服务。同样也为黑客打开了大门。黑客喜欢扫描3389端口。远程桌面真的很方便。如果硬要打开,建议在防火墙上加一条规则:只允许指定的IP访问该端口。因此,你选择的产品至少应该具备主机防火墙和主机入侵检测的功能。如果第一步能够检测到攻击并阻止黑客,那么安全性将大大提高。可以使用系统自带的防火墙实现,也可以使用杀毒软件自带的防火墙,但是操作系统自带的防火墙不能在非域环境下统一设置和管理.2.2.获取权限:如果不幸第一步被黑客攻破,黑客通过端口扫描你的IP,那么下一步他要做的就是使用这个端口,最有效的方法就是利用漏洞。黑客利用已知漏洞和新的(零日漏洞或以前未发现的)漏洞,如AdobeFlash、AdobeReader、Java运行时环境、Web浏览器和Windows组件,植入恶意代码并执行。大量的恶意程序利用漏洞进行攻击,但也有针对性的漏洞攻击(某些组织或个人等),传统检测手段难以检测和阻断。一般情况下,我们要求所有服务器尽快打补丁,及时打上最新的漏洞补丁,可以很好的防止类似的攻击,但问题是很多0day漏洞攻击(0day漏洞是指那些还没有发布补丁的漏洞),我们根本就没有打补丁,即使不是0day,很多单位的服务器也很少能及时打补丁。影响业务系统的运行等等。就在上周,某医院的一位客户反映,单位的电脑经常蓝屏。我们去查了查,被炸了这么多年,他们还是没有打永恒之蓝的补丁。因此,如果你选择的产品也具有针对漏洞攻击的防护功能,则可以让黑客的漏洞攻击无效。黑客要想成功入侵,无疑会大大增加攻击成本。2.3.横向渗透:如果黑客最终攻入了你的一台电脑,可能是一台无关紧要的电脑,那么黑客下一步就是进一步扩大战果——进行横向渗透。横向渗透其实和从外网攻击内网是一样的。它也是从扫描、密码爆破开始,然后找到并锁定被攻击的服务器。在内网环境下,黑客可以使用的攻击手段更多:大部分服务器都没有连接到Internet,所以如果黑客想要入侵这些服务器,就必须使用同时连接到Intranet和Internet的计算机。没错,还有一些比较隐秘的,比如用USB无线网卡偷偷连接WIFI电脑。这些计算机最容易受到攻击,并以这些计算机为跳板进入内网环境。这里如果要阻止,就必须阻止电脑同时连接内网和外网。对于私自插USB网卡的,需要使用设备控制功能进行防范。可以在不入侵服务器的情况下招募服务器吗?是的,而且有不少遭遇。比如有的服务器开启了文件共享功能,可以方便的写图。那么黑客只需要在可以访问共享的服务器上引爆勒索病毒,同样可以对共享文件夹中的文件进行加密。在这种情况下,由于病毒程序没有在服务器上运行,服务器无法检测到病毒,所以服务器能最好地防止这种情况发生。如果前面的方法都失败了,黑客最终进入了服务器(比如服务器有弱口令,黑客通过远程桌面等合法途径进入),这种情况下,有什么办法可以防止勒索病毒?根据我们对被感染勒索病毒服务器的分析,我们了解到黑客是在这一步进入服务器执行病毒程序和加密文件。如果勒索程序没有被杀毒程序查杀,最好直接运行病毒,有的会抹掉痕迹。有时病毒被杀毒程序直接杀掉了,这时黑客就得想办法关闭或直接卸载杀毒程序。这里测试的是杀毒软件的防病毒能力和自身的健壮性。比如查杀率、未知病毒的防范、自身安全保护措施等等。如果勒索病毒能被杀,或者杀不死,但不能运行,对服务器来说是安全的。因此,在这个环节,杀毒软件最好具备以下功能:主动防御或行为检测技术,可以防范未知病毒。杀毒软件必须具有防止关机和卸载的功能。必须有一个功能,可以对进程设置权限,禁止未经授权的程序和进程运行。共享文件夹等防护说了这么多,对病毒和黑客攻击的防护可以归纳为:l常规传输:邮件、网页、共享、U盘等l扫描阶段:IPS防护、防火墙;l入侵阶段:漏洞防护、共享文件夹l内网渗透:IPS防护、防火墙、外设控制、BadUSBl侵入服务器:病毒扫描、程序拦截、未知病毒防护、更新速度验证一款软件是否能防勒索有效手段是对黑客过程的每一步进行测试和验证。04.测试方法测试方法包括静态测试和动态测试。所谓静态测试就是下载病毒样本包,通过杀毒软件测试病毒样本的识别率和管理功能。目前很多评估都是一些静态测试。病毒样本包用于测试产品是否可以被识别。对于无法识别的病毒,发送给厂商,看更新病毒库需要多长时间,测试厂商对新病毒的反应速度。同时,不能识别直接执行。病毒,看杀毒软件对未知病毒的主动防御能力。设置应用程序权限,查看病毒等没有权限的程序是否可以运行。该方法主要用于测试杀毒软件的基本功能,包括上报、集中管理等功能。但在真实攻击中很难准确反映产品的实战能力。第二种方法是动态测试,通过模拟攻击来测试杀毒软件在面对攻击时的反应。常用的方法是使用KALILINUX模拟攻击。测试杀毒软件如何有效拦截漏洞利用、网络攻击和端口防御。本文转载自微信公众号“大兵说安全”,可通过以下二维码关注。转载本文请联系大兵说安全公众号。
