This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

مقارنة لمكافحة البرمجيات الخبيثة الاختبارات: الطريق الصحيح للقيام بها

Filed Under: Featured, Malware, Security threats, SophosLabs

ملاحظة: في مصلحة الكشف فتح، أنا باحث أول في SophosLabs البرمجيات الخبيثة مع اهتماما كبيرا في تحسين إجراءات الاختبار وأحد الأعضاء المؤسسين لمنظمة اختبار معايير مكافحة البرامج الضارة (AMTSO).

أحدث الاختبارات لمكافحة البرمجيات الخبيثة ، التي يؤديها مختبرات التكنولوجيا دينيس، وتبين أن التجارب المقارنة يمكن أن تكون في الواقع مؤشر قوي على مدى نجاح الحل الأمني ​​يمكن أن تحمي مستخدم.

simon edwards blog

إجراء هذه الأنواع من الاختبارات ليست سهلة أو حتى مباشرة إلى الأمام، ولكن دينيس تكنولوجيا أظهرت أنه من الممكن بالفعل.

الانترنت هو الكامل من الهيئات الاختبار الذي يسمى مسح البرمجيات الخبيثة مع مجموعات حفنة من الماسحات الضوئية على الطلب ونشر التصنيف العالمي.

قياس على الطلب معدلات الكشف يوفر مؤشر الأداء، ولكنه لا يقول الحقيقة المستخدمين ما تريد أن تعرف: هل نظمها آمنة قدر الإمكان من وفرة من الهجمات الخبيثة هناك؟

كامل اختبار المنتج يقدم ما يعرف باسم "سيناريو هجوم ضار" إلى كمبيوتر الضحية.

اختبارات جيدة في محاولة لمحاكاة هجوم معروف في محيط واقع الحياة، وذلك بهدف تسجيل إجراءات الحماية التي يستخدمها برنامج الأمان لوقف الهجوم في مرحلة مبكرة. الهدف النهائي هو تقييم مدى نجاح نظام حماية الحل ضحية من الهجوم.

هذه الأنواع من الاختبارات تحتاج إلى أن تأخذ في الاعتبار إعداد النظام، وسلوك المستخدم، تكوينات التثبيت، وما إلى ذلك وهي عبارة عن مجموعة معقدة من المعايير للحصول على حق.

لتوضيح هذه النقطة، دعونا ننظر في الهجمات على شبكة الإنترنت استخدام عدة استغلال أنجح التي شهدناها في السنوات القليلة الماضية، و استغلال عدة بلاكهول . هناك عدد من المراحل في الهجوم، والحلول الأمنية اليوم متعددة الطبقات ينبغي محاولة لمنع العدوى في كل مرحلة.

thumbs up

مراحل هجوم الويب باستخدام عدة استغلال بلاكهول

أولا، يبدأ عادة هذا النوع من الهجوم الخبيثه عن طريق وصلة ويب بسيطة. يمكن تسليمها عن طريق البريد الإلكتروني استغلال من سيارة، أو في نتائج البحث متصفح (نتيجة للتسمم محرك البحث).

في حالة توزيع البريد الإلكتروني، ومرشحات البريد المزعج موجودة لتصفية الرسائل غير المرغوب فيها وضارة. مع من سيارة أو محرك هجمات البحث التسمم، على شبكة الإنترنت تصفية هناك للقبض على إطارات iFrame مشيرا إلى أنماط URL المعروف، وينبغي رفع تنبيه.

الثانية، الهجوم توظف عادة البرامج النصية معيد التوجيه بسيطة. غالبا ما يتم تشفير هذه، والتي تنبه الخبيثة الكشف النصي. ينبغي أن لا يكون معيد التوجيه البرامج النصية المشفرة تصفية URL، ويتم تصميم الدفاعات سمعة لتنبيه المستخدم أو المسؤول لأنشطة مشبوهة.

إعادة توجيه هذه الإشارة إلى ملقم استضافة، والتي، في حالة استغلال عدة بلاكهول، يتميز "الاتجاه نظام المرور" (TDS). جمع المعلومات المتصفح وOS الإصدار، TDS إرجاع مجموعة من مآثر مصممة خصيصا لنقاط الضعف المحددة موجودة في البيئة الضحية.

الثالث، يتم تسليم يستغل لنظام لهجوم. قد تحتوي على محتوى تسليم بسيطة فبسكريبت التنزيل، PDF، أو يستغل فلاش جافا، جنبا إلى جنب مع بعض نقاط الضعف ويندوز نادرا ما تستخدم. تم الكشف عن هذا المحتوى الخبيثة بصورة موثوقة من قبل ما يصل إلى تاريخ وحدات الوقاية من استغلال، والماسحات الضوئية على الوصول، أو مكونات تصفية المحتوى.

رابعا، ينبغي مآثر تكون ناجحة، الجهاز الضحية يعيد إلى الخادم المضيف للحمولة الثنائية، والتي يتم تحميلها لاحقا وتنفيذها.

وكان في هذه المرحلة الرابعة، حيث ان معظم الاختبارات الحماية في الوقت الحقيقي يبدأ تقييمهم؛ في مكان النقاط URL للمحتوى القابل للتنفيذ. مراحل الهجوم واحد من خلال ثلاثة نادرا ما الذي يعتبره معظم التجارب الحماية في الوقت الحقيقي.

وأبرز هذا القصور في الاختبارات في عام 2007 حلقة العمل الدولية اختبار الفيروسات . تصور مناقشة حول هذا الموضوع ولادة منظمة اختبار معايير مكافحة البرامج الضارة (AMTSO) في العام التالي.

لتحسين نوعية الاختبار - لاختبار وبطريقة تحاكي حقا تجربة المستخدم في الوقت الحقيقي - على ما يبدو مهمة مستحيلة في ذلك الوقت. لحسن الحظ، أنشأت القوات المشتركة اختبار وخبراء مكافحة الفيروسات بعض جدا مبادئ توجيهية مفيدة وأفضل الممارسات .

dennis technology labs

شارك دنيس مختبرات بنشاط من الأيام في وقت مبكر جدا من AMTSO، والعمل على وثائق مثل كل المبادئ التوجيهية اختبار المنتجات. انه لامر جيد للتأكد من أنهم لم يكونوا مهتمين فقط من الناحية النظرية، ولكن اعتمدت هذه المبادئ التوجيهية في الممارسة العملية أيضا.

يمكنك أن تقرأ دنيس مختبرات الذاتية التي تفرضها المبادئ التوجيهية لاختبار تهديدات الويب، ولكن هنا يبرز:

  • أنها لا تأخذ عينة من الباعة يغذي
  • أنها محاولة لاستخدام عناوين المواقع التي تحتوي على مآثر دائما
  • فإنها قد تشمل هجمات الهندسة الاجتماعية
  • أنها تستخدم عينات معقدة.

بطبيعة الحال، لمتعدد الطبقات، مطور حل لمكافحة البرمجيات الخبيثة، الأولوية رقم واحد هو سلامة نظم مستخدميها.

الناس في السوق لنهج أمني جديد نتطلع إلى اختبارات مستقلة كدليل.

و، نعم، جميع البائعين تريد أن تفعل بشكل جيد في الاختبارات، لكنها أكثر من ذلك بكثير قيمة إذا ما نفذت بشكل صحيح الاختبارات والاطلاع على الحل الأمني ​​كله، وليس فقط بعض من المكونات.


اختبار الصورة و افتراضي مجاملة صورة ShutterStock.

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).