|
对外攻击拦截功能与网络入侵拦截技术原理一致(都是通过识别漏洞攻击数据包),但是侧重于拦截本机对其它计算机的攻击行为。
典型应用: 拦截 新型(未知)蠕虫病毒在用户终端中利用漏洞进行网络传播。
攻击演示: 近年来由于众多高危漏洞的泄露,蠕虫病毒利用漏洞进行传播的情况已经屡见不鲜,测试所使用的攻击脚本为修改后的“驱动人生”挖矿病毒传播脚本,修改后的病毒脚本在漏洞成功触发后会造成被攻击终端系统蓝屏。 1.在终端中运行攻击脚本,输入被攻击终端IP后会执行漏洞攻击。如下图所示:
2.被攻击终端被攻击后,如下图所示:
防御测试:
1. 在攻击终端上安装火绒5.0,确保对外攻击拦截功能开启。如下图所示: 2.在攻击终端中运行病毒测试脚本。 3.查看火绒安全日志,如下图所示:
可以看到火绒拦截日志 1.通过关联进程和命令行可以得出,对外攻击进程为python.exe(这个案例为攻击测试程序,真实环境多数为安全软件不能查杀的未知病毒) 2.攻击所利用的漏洞为Exploit/EternalRomance 3.被攻击的远程IP为192.168.150.128
总结: 通过对外攻击拦截功能,火绒可以有效控制蠕虫病毒利用漏洞进行传播的恶意行为,及时帮助用户快速定位到新型(未知)病毒进程。 产品发布后我们会根据外部威胁趋势情况,加入新的对外攻击拦截策略,从而对应更多的漏洞攻击场景。
欢迎大家持续向我们提交相关攻击场景。
| 
收藏