This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

비교 안티 - 악성 코드 검사 :이를 수행 할 수있는 올바른 방법

Filed Under: Featured, Malware, Security threats, SophosLabs

참고 : 열려있는 공개의 관심에서, 테스트 절차를 개선 관심과 안티 멀웨어 테스트 표준기구 (AMTSO)의 창립 회원과 SophosLabs에서 수석 악성 코드 연구원입니다.

최신 안티 - 악성 코드 검사 데니스 기술 연구소에 의해 수행은, 비교 테스트가 실제로 보안 솔루션은 사용자를 보호 할 수 있습니다 얼마나 잘 나타내는 중요한 지표가 될 수 있다는 보여줍니다.

simon edwards blog

테스트 이러한 유형의 진행은 간단하거나 스트레이트 앞으로 아니지만, 데니스 기술은 실제로 가능하다는 것을 보여 주었다.

인터넷 주문형 스캐너의 소수 자신의 악성 코드 수집을 검색하고 순위를 게시 소위 테스트 기관 가득합니다.

검색 속도 주문형에서 측정하면 성능 표시기를 제공하지만, 실제로 그들이 원하는 것을 사용자에게 알려하지 않습니다 거기에 악의적 인 공격의 GLUT에서 가능한 한 안전한 자신들의 시스템입니까?

전체 제품 테스트는 피해자 컴퓨터에 '악의적 인 공격 시나리오'로 알려져 있습니다 무엇 소개합니다.

좋은 테스트는 초기 단계에서 공격을 중지하도록 보안 소프트웨어에서 사용하는 보호 조치를 기록 목적으로, 실제 환경에서 알려진 공격을 모방하려고합니다. 궁극적 인 목표는 솔루션은 공격 피해자 시스템을 보호 얼마나 잘 평가하는 것입니다.

시험의이 유형은 그건 바로 얻을 수 매개 변수의 복잡한 집합 계정으로 시스템 설정, 사용자의 행동, 설치 구성 등을해야합니다.

이 점을 설명하기 우리가 지난 몇 년 동안 본 가장 성공적인 공격 키트 사용하여 웹 공격 살펴 보자 Blackhole 공격 키트를 . 이 공격의 단계 수는 있으며, 오늘날의 다층 보안 솔루션은 각 단계에서 감염을 방지하기 위해 시도해야합니다.

thumbs up

Blackhole 공격 키트를 사용하여 웹 공격의 단계

첫째, 악의적 인 공격의 유형은 일반적으로 간단한 웹 링크를 통해 시작됩니다. 그것은 이메일, 드라이브의 공격을 통해 나 브라우저 검색 결과 (검색 엔진 중독의 결과)에 제공 할 수 있습니다.

이메일 배포판의 경우에는 스팸 필터는 원치 않는 악성 메시지를 필터링 할 존재한다. 드라이브 별 또는 검색 엔진 중독 공격으로, 웹 필터링은 알려진 URL 패턴을 가리키는 iframe을 잡아하고 경보를 발령한다이 있습니다.

둘째, 공격은 일반적으로 간단한 리디렉터 스크립트를 사용하고 있습니다. 이는 종종 악성 스크립트 탐지 경고하는 암호화됩니다. 리디렉터 스크립트 암호화, URL 필터링이 아니어야하며 명성 방어는 의심스러운 활동에 사용자 또는 관리자에게 경고하기 위해 설계되었습니다.

이러한 리디렉션은 Blackhole의 공격 키트의 경우, "교통 방향 시스템"(TDS)를 갖추고, 호스팅 서버를 가리 킵니다. 브라우저 및 OS 버전 정보를 수집, TDS는 희생자 환경에 존재하는 특정 취약점에 맞는 공격의 컬렉션을 반환합니다.

셋째, 공격은 공격을 받고 시스템에 전달됩니다. 제공되는 내용은 어떤 거의 사용하지 윈도우 취약점과 함께, 간단한 VBScript를 downloaders, PDF, 플래시 또는 자바 공격을 포함 할 수 있습니다. 이 악성 콘텐츠를 안정적으로 최신의 공격 방지 모듈에 액세스 스캐너, 또는 콘텐츠 필터링 구성 요소를 감지합니다.

넷째, 공격이 성​​공해야, 피해자 기계는 이후 다운로드하고 실행 바이너리 페이로드에 대한 호스팅 서버에 다시 연결됩니다.

그리고 대부분의 실시간 보호 검사가 자신의 평가를 시작 제 4 단계이며, 지점에있는 실행 내용에 URL을 가리 킵니다. 어느 경우 공격 단계는 세 단계까지 대부분의 실시간 보호 검사로 간주, 거의 없습니다.

테스트에서이 결점은 2007에서 강조되었다 국제 안티 바이러스 테스트 워크숍 . 이 주제에 토론의 탄생 임신 안티 멀웨어 테스트 표준기구 (AMTSO) 다음 해 있습니다.

테스트의 품질을 향상시키기 위해 - 진정으로 실시간 사용자 경험을 했었 방식으로 테스트하는 것은 - 그 때 불가능 해 보이던 임무 mission 것처럼 보였다. 다행히도, 테스터 및 바이러스 백신 전문가의 결합 세력은 아주 생성 유용한 지침과 모범 사례를 .

dennis technology labs

데니스 연구소는 전체 제품 테스트 가이드 라인과 같은 문서 작업, AMTSO의 가장 초기부터 적극적으로 참여했습니다. 그 사람들은 이론에 관심이없는 있었지만,뿐만 아니라 실제로 이러한 가이드 라인을 채택 있는지 좋습니다.

당신은 읽을 수 데니스 랩의 자체 부과 지침을 웹 위협을 테스트에 있지만, 여기에 하이라이트는 다음과 같습니다

  • 그들은 공급 업체에서 샘플 피드를하지 않습니다
  • 사람들은 항상 포함 된 URL 공격을 사용하려고
  • 그들은 사회 공학 공격을 포함 할 수 있습니다
  • 그들은 복잡한 샘플을 사용합니다.

물론, 다층, 안티 - 악성 코드 솔루션 개발을 위해 최고의 우선 순위는 사용자 시스템의 안전입니다.

새로운 보안 접근 방식에 대한 시장의 사람들은 가이드로 독립적 인 시험을 찾는다.

그리고, 그래, 모든 업체는 테스트를 잘하고 싶은,하지만 그들은 훨씬 더 가치있는 테스트가 제대로 실행하는 경우이며, 전체 보안 솔루션에서, 오히려 구성 요소 중 일부보다 다하겠습니다.


테스트 이미지와 백업 엄지 손가락을 ShutterStock의 이미지 예의.

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).