安全研究 | 企业常用漏扫工具特征及其局限性分析

01.什么是漏扫工具?

漏扫工具即漏洞扫描工具，具备自动化扫描能力，能够迅速准确地扫描系统、网络或应用程序，及时发现并报告潜在的安全风险。漏扫工具的核心使命在于协助组织识别安全漏洞，确保在恶意攻击者有机可乘之前，及时修复这些漏洞，从而维护网络环境的整体安全。

02.漏扫工具的优/缺点

常见的漏扫工具包括AWVS和Appscan。

优 点

漏扫工具在网络安全策略中发挥着举足轻重的作用，为组织带来了显著的益处。一方面，它提供了一种高效、系统的自动化方式来识别并修复潜在的安全漏洞，大大提升了安全评估的效率和准确性；另一方面，这些工具通常配备庞大的漏洞数据库，能够全面检测各种已知的安全威胁，为组织提供及时、准确的预警，确保网络安全防线牢固可靠。

缺 点

尽管漏扫工具在网络安全领域具有诸多优势，但它们同样存在一些固有的局限性。首先，这些工具主要聚焦于已知的漏洞进行扫描，对于0day攻击或新出现、尚未记录的漏洞时，其检测能力可能会受到一定限制。其次，误报和漏报是漏扫工具常见的问题，误报可能引发安全团队对不存在威胁的过度关注，浪费宝贵的时间和资源；而漏报则可能让真正的安全威胁潜藏在暗处，增加了潜在风险。此外，若漏扫工具使用不当，可能会对目标系统造成不利影响，如引发网络延迟或服务中断等问题。最后，过度依赖漏扫工具可能导致组织忽视其他重要的安全措施和策略，进而形成网络安全上的盲点。因此，在使用漏扫工具时，需保持警惕性并结合其他安全手段，共同构建稳固的网络安全防线。

03.如何分析漏扫工具特征？

深入分析漏扫工具的特征，对于网络安全而言是一项至关重要的任务。企业通过深入了解这些特征，能够更有效地应对潜在的网络安全威胁。漏扫工具在执行扫描任务时，往往会展现出特定的流量模式、请求频率或使用特定的用户代理，这些都是其显著的特征表现。

然而，要真正定义为特征，必须满足一系列基本且必要的条件：

• 唯一性：在大多数情况下应仅与特定漏扫工具相关联，而非其他正常或恶意的网络活动。

  
  

• 固定性：无论工具的使用地点或方式如何变化，工具都应保持一致性，确保在不同环境或配置下的有效性和可靠性。

  
  

• 可观察性：指在正常的网络监控和日志记录中能够轻易被察觉，无需依赖特殊工具或复杂分析技术。

  
  

• 持久性：即使工具经过更新或微调，其核心特征仍保持不变，为长期监控和检测提供了可能。

  
  

• 普遍性：无论目标系统的操作系统、网络配置或其他变量如何变化，该特征都应出现。

  
  

• 低误报率：能够准确表示特定漏扫工具的使用，而非其他无害或无关的网络活动，这有助于减少误判和不必要的干扰。

04.特征分析

在本地搭建WEB服务器，随后分别使用不同版本的AWVS和Appscan对搭建的WEB服务器进行扫描，同时抓取扫描的流量。

AWVS-15版本

URL中acunetix_test字符串特征

图 1 AWVS-15-acunetix_test 字符串特征

头信息中acunetix/wvs字符串特征

图 2 AWVS-15-acunetix/wvs字符串特征

UA头中acunetix字符串特征

图 3 AWVS-15-acunetix字符串特征

body头中acunetix test字符串特征

图 4 AWVS-15-acunetix test 字符串特征

 AWVS-10版本

URL中acunetix_test字符串特征

图 5 AWVS-10-acunetix_tes 字符串特征

头信息中acunetix/wvs字符串特征

图 6 AWVS-10-acunetix/wvs 字符串特征

body头中acunetix test字符串特征

图 7 AWVS-10-acunetix test字符串特征

AWVS特征总结

这些特定的字符串，如acunetix_test、acunetix/wvs、acunetix、acunetix test，在正常的网络流量中是不常见的。然而这些字符串在高版本和低版本的AWVS中都存在，它们的唯一性和固定性使得它们成为了AWVS的明显特征

Appscan-10.0.7版本

 URL中AppScan字符串特征

图 8 Appscan-10.0.7-AppScan 字符串特征

头信息中AppScan字符串特征

图 9 Appscan-10.0.7-AppScan 字符串特征

body中AppScan字符串特征

图 10 Appscan-10.0.7-AppScan 字符串特征

 Appscan-9.0.3.6版本

 URL中AppScan字符串特征

图 11 Appscan-9.0.3.6-AppScan 字符串特征

头信息中AppScan字符串特征

图 12 Appscan-9.0.3.6-AppScan 字符串特征

body中AppScan字符串特征

图 13 Appscan-9.0.3.6-AppScan 字符串特征

Appscan特征总结

Appscan字符串在正常的网络流量中同样不常见，并且这些字符串在高版本和低版本的Appscan中都存在。因此，唯一性和固定性也是Appscan的明显特征。

05.如何防御？

上文已经分析出了AWVS和Appscan的流量特征，企业可以借助一些防御工具进行防御，如suricata/snort进行防御。

Awvs防御规则

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:" Acunetix Web 扫描攻击url检测"; flow:established,to_server; threshold: type threshold, count 5, seconds 300, track by_src; http.uri; content:"acunetix_test"; fast_pattern; reference:url,www.acunetix.com/; classtype:web-application-attack; sid:1;)

Appscan防御规则

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:" Appscan Web 扫描攻击url检测"; flow:established,to_server; threshold: type threshold, count 5, seconds 300, track by_src; http.uri; content:"appscan"; fast_pattern; reference:url,www.acunetix.com/; classtype:web-application-attack; sid:2;)

长扬科技安全研究院

长扬科技安全研究院专注工控协议和安全漏洞库研究，具备持续性的工业协议分析能力、漏洞挖掘能力以及病毒处理、灾后数据恢复能力，为国家多个管理机构提供漏洞上报和预警信息上报。凭借在工业互联网安全领域的贡献，长扬科技荣幸入选国家信息安全漏洞库（CNNVD）-二级技术支撑单位，并荣获其颁发的年度优秀技术支撑单位称号。同时，长扬科技还成功入选了2021年度国家工业信息安全漏洞库技术支持组成员单位、工业信息安全应急服务支撑单位（NISIA）和工业信息安全监测预警网络建设-CICS-CERT支撑单位等。目前，长扬科技提交的工业和信息化部网络安全威胁和漏洞信息共享平台通用网络产品安全漏洞库的漏洞中，有数十项漏洞已被收录，包括超危、高危、中危漏洞。

长扬科技工控漏洞库维护着数千个工控漏洞及工控漏洞利用代码和扫描指纹，近千种各工控设备厂商产品信息。威胁情报库、安全事件知识库数量110万余条；维护着数百种工控固件/软件版本识别指纹。成立至今，已分析过200个以上的工控漏洞，挖掘出艾默生DCS、西门子PLC、VxWorks等多款设备的0Day漏洞，上报国家工业信息安全漏洞库（CICSVD）原创通用型漏洞百余个，国家信息安全漏洞库(CNNVD) 原创通用型漏洞百余个。未来，长扬科技将持续聚焦于工控安全多个方向和领域的专项研究，不断完善漏洞信息共享平台，提升网络安全防护能力，为构建更加安全可靠的数字化社会作出更大贡献。