|
馬上就到4月8日了�。4月8日,微軟將停止針對(duì)Windows XP的更新服務(wù)�����。XP退休后,并不是XP系統(tǒng)無(wú)法再用了�����,而是指微軟將不再為XP系統(tǒng)曝出的安全漏洞提供更新補(bǔ)丁�����。這種未被修復(fù)的漏洞一般被稱為0day���。 微軟停止對(duì)XP更新支持后���,用戶將長(zhǎng)期處于0day攻擊風(fēng)險(xiǎn)中���,面臨最大的安全問(wèn)題就是漏洞攻擊方面�����。漏洞本身是一種病毒傳播途徑�����,在漏洞的輔助下�����,病毒或黑客可輕易地繞過(guò)殺毒軟件�����,在用戶毫無(wú)察覺的情況下�����,傳播到用戶電腦中�,從而破壞或遠(yuǎn)程控制用戶電腦。打個(gè)比方����,家里墻上有個(gè)洞,即使門鎖再堅(jiān)固��,小偷依然可以繞過(guò)門鎖從洞里進(jìn)去偷東西���。 近期���,國(guó)內(nèi)外各大安全公司紛紛推出了專門針對(duì)XP系統(tǒng)的安全加固服務(wù),都宣稱可以增強(qiáng)XP系統(tǒng)的安全性���。那它們能有效防范XP系統(tǒng)漏洞攻擊嗎�?下面我們選了幾個(gè)歷史上曾爆發(fā)過(guò)的影響廣泛的漏洞,在Windows XP系統(tǒng)上����,對(duì)四款主流殺毒軟件做一個(gè)漏洞防護(hù)方面的效果測(cè)試。 IE/Office/PDF三個(gè)代表性漏洞 微軟對(duì)XP停止更新后����,對(duì)XP平臺(tái)上的IE、Office等也會(huì)隨之停止更新支持���。 如果Internet Explorer(IE)爆出新漏洞�,或者第三方ActiveX存在緩沖區(qū)溢出等漏洞����,黑客就可以發(fā)起漏洞利用攻擊。他們往往精心構(gòu)造一個(gè)網(wǎng)頁(yè)�����,內(nèi)含漏洞利用攻擊代碼�,然后將此網(wǎng)站URL鏈接發(fā)給網(wǎng)民�����。當(dāng)網(wǎng)民使用IE訪問(wèn)該網(wǎng)站時(shí),病毒程序便會(huì)悄無(wú)聲息地下載到本機(jī)并執(zhí)行��。 同樣�����,如果Office軟件存在安全漏洞�,那么黑客可精心構(gòu)造包含攻擊代碼的文檔文件,比如一個(gè)Excel表格����,或者是一個(gè)Word文檔文件。當(dāng)用戶打開該文檔文件時(shí)����,便會(huì)被黑客攻擊,下載木馬病毒��,從而控制或破壞用戶電腦�����。 另外一類比較常見的被黑客利用漏洞攻擊的軟件是PDF閱讀器,比如Adobe Reader�����。 這次的測(cè)試��,我們便是選擇這三類最具代表性����、最常被黑客所利用的軟件漏洞進(jìn)行測(cè)試,測(cè)試環(huán)境是Windows XP SP3系統(tǒng)(未打后續(xù)安全補(bǔ)?�。┮约癐E8�����、Office 2003����、Adobe Reader 9.0。具體軟件版本及漏洞信息如下: 1. IE漏洞: 漏洞編號(hào): CVE-2013-3893 測(cè)試軟件: Internet Explorer 8 2. Word漏洞 漏洞編號(hào): CVE-2012-0158 測(cè)試軟件: Microsoft Word 2003 3. Adobe Reader漏洞: 漏洞編號(hào): CVE-2009-0027 測(cè)試軟件: AdobeReader 9.0 English 漏洞攻擊方式 針對(duì)上述三類漏洞���,我們分別搜集到三類漏洞測(cè)試樣本����,樣本的行為是通過(guò)成功觸發(fā)漏洞����,并利用漏洞下載運(yùn)行病毒。為了更形象地展示漏洞攻擊及病毒運(yùn)行情況��,我們將該病毒設(shè)置為一個(gè)“計(jì)算器”程序��。 如果該病毒“計(jì)算器”成功運(yùn)行����,那么,代表代表當(dāng)前用戶的電腦被黑客攻擊成功����,用戶電腦被病毒感染,殺毒軟件防護(hù)失?����?��;否則���,代表殺毒軟件攔截成功。 附測(cè)試樣本下載鏈接:http://pan.baidu.com/s/1nt8uPSX 樣本包中,POC目錄為測(cè)試POC樣本��。Runbin目錄為加密的計(jì)算器程序�����。 三種POC樣本會(huì)統(tǒng)一從http://www./runbin.exe下載加密病毒到臨時(shí)目錄并執(zhí)行�����。測(cè)試的時(shí)候���,需在本地構(gòu)造http://www./runbin.exe有效下載鏈接��,建議可通過(guò)本地host文件配置有效url:www.指向下載服務(wù)器��。并將runbin.exe放至下載服務(wù)器即可���。 參與測(cè)試的四款殺毒軟件 1. 金山毒霸 軟件名稱: 金山毒霸 軟件版本:9.0.152449.8843 
金山毒霸
2. 360安全衛(wèi)士 軟件名稱:360安全衛(wèi)士加固版 軟件版本:9.6.0.1004 
360安全衛(wèi)士
3. 卡巴斯基安全軟件 軟件名稱: 卡巴斯基安全軟件 軟件版本:14.0.0.4651 
卡巴斯基安全軟件
4. 瑞星殺毒 軟件名稱: 瑞星殺毒軟件 軟件版本: 24.00.14.70 
瑞星殺毒
為保證測(cè)試的可信性與公正性,所有測(cè)試均進(jìn)行了錄像截屏�����,有興趣的可具體參看該視頻: http://v.qq.com/boke/page/o/o/s/o0127p6tcos.html http://v.qq.com/boke/page/a/2/d/a0127i8ao2d.html http://v.qq.com/boke/page/w/9/3/w0127v9ww93.html http://v.qq.com/boke/page/c/g/s/c01275y8ogs.html 測(cè)試結(jié)果概述: 根據(jù)測(cè)試結(jié)果�����,看出金山毒霸和卡巴斯基在漏洞攻擊防護(hù)方面做得比較好����,都是全部攔截。 
金山毒霸和卡巴斯基通過(guò)全部3個(gè)漏洞考驗(yàn)
金山毒霸的攔截主要是基于攻擊行為方面的攔截��,這和它們之前在網(wǎng)站上所宣傳的一樣��,主要是針對(duì)一些漏洞攻擊手法的攔截����。這樣做的最大好處就是對(duì)未知漏洞攻擊的有效攔截。Windows系統(tǒng)新的漏洞一直在被發(fā)現(xiàn)�,被利用,但攻擊方法卻是千篇一律�,一直是那些老方法,很少發(fā)生變化�����。對(duì)于XP當(dāng)前的現(xiàn)狀�����,金山毒霸這種對(duì)于未知漏洞攻擊的攔截策略可以說(shuō)是最實(shí)用的。
卡巴斯基主要是在0day樣本的查殺方面做得比較突出����。對(duì)于三類漏洞利用攻擊,全部可在第一時(shí)間靜態(tài)查殺����,防止病毒樣本運(yùn)行,可見卡巴在0day樣本的靜態(tài)查殺方面做得比較完善���。 360安全衛(wèi)士在IE方面做的也還算不錯(cuò)��,對(duì)于一些比較嚴(yán)重的漏洞進(jìn)行了相應(yīng)的熱補(bǔ)丁修復(fù)��。通過(guò)對(duì)該漏洞進(jìn)行有針對(duì)性的處理修復(fù)�����,從而防止漏洞被再次利用����。這種屬于最典型的傳統(tǒng)漏洞防護(hù)方法�,非常有效,但是同樣存在著致命的缺點(diǎn):這種方法只在漏洞爆發(fā)后�,已有大量用戶被攻擊后����,才針對(duì)該特定漏洞進(jìn)行的防護(hù)處理���,缺乏通用性����。在新的漏洞或者未被它們處理的漏洞被利用攻擊時(shí)�����,360是無(wú)法進(jìn)行防護(hù)的���。就像Word跟PDF的漏洞,就成功繞過(guò)了360的防護(hù)����。 瑞星殺毒在IE方面可以看到也做了一定的防護(hù),可以看出跟360一樣����,同樣是針對(duì)特定漏洞做的修復(fù)補(bǔ)丁。 但是�����,根據(jù)測(cè)試看來(lái),瑞星對(duì)于CVE-2013-3893防護(hù)明顯存在bug����,雖然彈泡提示攔截js,但病毒卻依然執(zhí)行了起來(lái)�����。另外���,對(duì)于Word和PDF的防護(hù)����,瑞星跟360一樣���,在這方面���,并未做過(guò)多的防護(hù)處理。
|
