This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

比较反恶意软件测试:正确的方式做

Filed Under: Featured, Malware, Security threats, SophosLabs

注:在公开披露的利益,我是高级恶意软件研究人员在SophosLabs的了浓厚的兴趣,改善测试程序和反恶意软件测试标准组织(AMTSO)的创始成员之一。

最新的反恶意软件测试 ,由丹尼斯·技术实验室进行的,显示比较测试实际上可以成为一个强大的安全解决方案,可以保护用户的指标。

simon edwards blog

进行这些类型的测试是不容易的,甚至是直接的,,但丹尼斯技术表明,它确实是可能的。

互联网是充满了所谓的检测机构进行检测,扫描恶意软件的集合与极少数的按需扫描仪,并公布排名。

在按需检测率的测量提供了一个性能指标,但它实际上并没有告诉用户他们想知道:他们的系统是安全的,因为可能有过剩的恶意攻击?

完整的产品测试,介绍了被称为“恶意攻击的案例中的受害者计算机。

良好的测试模拟已知的攻击在现实生活中的设置,目的是记录的安全软件的保护措施,停止了攻击,在最早的阶段。最终的目标是评估的解决方案,以及如何保护系统免受攻击的受害者。

这些类型的测试需要考虑到这是一组复杂的参数,以获得正确的系统设置,用户行为,安装配置等。

为了说明这一点,让我们来看看最成功利用此漏洞的工具包,我们已经看到在过去的几年里, 黑洞的攻击工具包在网络攻击者利用。有许多阶段的攻击,并在每一个阶段,今天的多层次的安全解决方案,以防止感染。

thumbs up

黑洞的攻击工具包使用的网络攻击阶段

首先,这种类型的恶意攻击通常是通过一个简单的网页链接启动。它可以提供通过电子邮件,驱动器的漏洞或浏览器中的搜索结果(搜索引擎中毒的结果)。

在电子邮件分发的情况下,垃圾邮件过滤器,过滤掉不需要的和恶意的消息。通过驱动器或搜索引擎中毒攻击,网页过滤,捕捉指向已知的URL模式的iFrame中,应该发出警报。

二,攻击通常采用简单的重定向脚本。这些通常是加密的,它提醒恶意脚本检测。如果重定向脚本不被加密,URL过滤和信誉防御系统的设计,以提醒用户或管理员的可疑活动。

这些重定向指向的托管服务器,在黑洞的攻击工具包的情况下,采用了“交通指挥系统”(TDS)。浏览器和操作系统版本信息收集,TDS返回一个集合,针对受害人环境中存在的具体弱点的攻击。

第三,利用传递到系统受到攻击。传输的内容可​​以包含简单的VBScript下载,PDF,Flash或Java的攻击中,随着一些很少使用的Windows漏洞。这种恶意内容被可靠地检测上的最新的攻击防护模块,访问扫描仪,或内容过滤组件。

第四,要的功绩是成功的,在受害者机器重新连接到托管服务器,随后下载并执行的二进制负载。

它是在第四个阶段,最实时保护测试开始他们的评估,在点URL指向的可执行内容。攻击阶段,这三种都很少,如果有的话,被认为最实时保护测试。

在测试中强调了这一缺点,在2007年的国际反病毒测试车间 。关于这个主题的构思诞生的反恶意软件测试标准组织(AMTSO)下一年。

为了提高质量测试 - 测试的方式,真正模仿的实时用户体验 - 似乎在当时是不可能完成的任务。幸运的是,测试人员和反病毒专家联合部队创造了一些非常有用的指导方针和最佳实践

dennis technology labs

丹尼斯实验室积极参与,对整个产品的测试指引等文件,从最早期的AMTSO。这是很好看,他们感兴趣的只是理论,而是采用了这些指导方针,并在实践中。

您可以阅读丹尼斯Labs的自我强加的指导方针,以测试Web威胁,但这里的亮点:

  • 他们不采取抽样厂商供稿
  • 他们总是尝试使用URL包含漏洞利用
  • 它们可能包括社会工程攻击
  • 他们使用复杂的样品。

当然,对于一个多层次的,反恶意软件解决方案开发商,首要任务是在用户的系统安全。

人们在市场上的新的安全方法期望为导向的独立测试。

是的,所有的供应商都希望做的测试,但他们是这么多有价值的,如果测试是否正确执行,并期待在整体的安全解决方案,而不仅仅是一些组件。


测试图像礼貌Shutterstock的图像,并竖起大拇指

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).