某局点部署了usg6625e与firehunter6000用于恶意文件检测。客户在实际测试过程中发现,多次通过ftp传输同一恶意文件样本,沙箱能检测出该文件为恶意文件,防火墙也有阻断记录,但实际测试恶意文件样本能通过ftp协议上传到ftp服务器。
处理过程
1、将客户提供测试的恶意文件样本在沙箱本地直接上传验证检测结果。
2、查看usg沙箱检测日志,发现有多条与恶意文件样本相关的日志记录。
3、排查usg防火墙安全策略
4、对比ftp传输前和ftp传输后的恶意文件样本大小,ftp传输后的文件要小于ftp传输前的文件,同时使用md5工具对ftp传输前和ftp传输后的恶意文件样本进行hash计算,两个md5值不一致,结果表明恶意文件样本的原始文件已经遭到防火墙破坏。
5、最后沙箱本地上传经过ftp传输后恶意文件样本,检测结果为正常。
根因
防火墙对于恶意文件的处理不是直接丢弃,而是删除恶意文件中的数据块,使恶意文件在接收端无法进行还原,最后达到破坏恶意文件的目的。
建议与总结
在测试类似安全问题时,建议使用md5工具进行hash计算,然后观察hash值。