藏有漏洞攻击包的网站是安全厂商和研究人员经常研究的目标,所以攻击者会想去闪躲安全厂商和研究人员也并不令人惊讶。他们怎么做呢?
攻击者所用的最基本方法是IP黑名单。就像安全厂商会有IP用来发送垃圾邮件、代管恶意网站和接收被窃资料的大量黑名单一样,攻击者也掌握了他们认为安全厂商和研究人员所使用的IP列表,并封锁来自这些地址的存取。
更复杂一点的方式是只感染特定IP地址一次。这要如何做?
假设安全厂商和研究人员有和特定攻击相关的网站列表。他们会连上一个网站(手动或使用自动化工具),但攻击者会在自己的后端资料库记录此特定IP地址已经连过与此攻击相 关的网站,如果安全厂商和研究人员想要连到资料库内的其他网站,那将无法成功存取恶意内容。
图一、闪避爬网技术
这样的后端资料库可以和动态DNS服务一起使用。攻击者可以动态地建立多个服务用随机网址,所以他们可以在有人存取过后几分钟内就将该网址停用。
漏洞攻击包会在不同程度上支援这些技术。最常见的是「一次性感染」技术,被两个版本的黑洞漏洞攻击包(1.x和2.x)和Styx以及CoolKit所使用。
虽然个别来说都有对策,但这的确对安全厂商和研究人员带来额外的障碍。虽然我们可以解决这些限制,但这也强调了不依赖任何特定方式来保护使用者有多么重要。
安全沒有特效药。「深度防御」策略同时使用了云端和终端模式,仍然是今日安全环境内抵御威胁最有效的方法。最重要的是,关联多个模式以找到感染链的全貌仍是发现和分析新威胁非常重要的一环。
透过云端技术来保护使用者仍是个有效的方式,广泛的覆盖率、强大的关联能力和防护能力,同時也用更少的资源。就如同貓捉老鼠的游戏,我们会不断改进爬网和蜜罐能力,得以领先网络犯罪分子。
然而,终端防护仍然可以补强云端防护不足的地方 – 当威胁在终端即时的运作,有真正的使用者、真实的环境时。在终端上,可以检查使用者所用的档案和网站,潜在恶意内容(如JavaScript和Java)可以被执行以分析恶意行为。使用者可以在任何恶意档案被储存进系统前加以防护。
同时,任何新监测到的威胁信息会被反馈到主动式云端截毒技术,让我们可以保护所有的使用者,并收集这些威胁的相关信息。用它来了解情況,并制定更有效的方法保护使用者。
@原文出处:How Exploit Kits Dodge SecurityVendors and Researchers
原文链接:https://www.cnblogs.com/riskyer/p/3304038.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22395
