火绒安全软件

标题: 火绒5.0:对外攻击拦截功能简介 [打印本页]
作者: Chang_Feng    时间: 2019-3-9 15:18
标题: 火绒5.0:对外攻击拦截功能简介
    对外攻击拦截功能与网络入侵拦截技术原理一致(都是通过识别漏洞攻击数据包),但是侧重于拦截本机对其它计算机的攻击行为。

典型应用:
     拦截 新型(未知)蠕虫病毒在用户终端中利用漏洞进行网络传播。

攻击演示:
    近年来由于众多高危漏洞的泄露,蠕虫病毒利用漏洞进行传播的情况已经屡见不鲜,测试所使用的攻击脚本为修改后的“驱动人生”挖矿病毒传播脚本,修改后的病毒脚本在漏洞成功触发后会造成被攻击终端系统蓝屏。
    1.在终端中运行攻击脚本,输入被攻击终端IP后会执行漏洞攻击。如下图所示:

1

1

    2.被攻击终端被攻击后,如下图所示:

2

2


防御测试:

    1. 在攻击终端上安装火绒5.0,确保对外攻击拦截功能开启。如下图所示:

3

3
    2.在攻击终端中运行病毒测试脚本。
    3.查看火绒安全日志,如下图所示:

4

4

可以看到火绒拦截日志
    1.通过关联进程和命令行可以得出,对外攻击进程为python.exe(这个案例为攻击测试程序,真实环境多数为安全软件不能查杀的未知病毒)
    2.攻击所利用的漏洞为Exploit/EternalRomance
    3.被攻击的远程IP为192.168.150.128

总结:
    通过对外攻击拦截功能,火绒可以有效控制蠕虫病毒利用漏洞进行传播的恶意行为,及时帮助用户快速定位到新型(未知)病毒进程。
    产品发布后我们会根据外部威胁趋势情况,加入新的对外攻击拦截策略,从而对应更多的漏洞攻击场景。

    欢迎大家持续向我们提交相关攻击场景。




作者: 清雨青雪    时间: 2019-3-10 12:10
抢楼,必须抢沙发
作者: 深蓝冲击波    时间: 2019-3-10 12:56
不错。。。。。。
作者: yonxi3    时间: 2019-3-10 14:55
这功能很好!
作者: w-tekeze    时间: 2019-3-12 16:39
由內对外的攻击? 不想当肉鸡,支持。。。对了,说好的防ARP攻击呢,还是只能找企业版。。
作者: mutu    时间: 2019-5-15 19:01
很实用的功能
作者: 北极光    时间: 2019-5-19 13:41
棒棒哒!



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4