基於瀏覽器的網絡威脅已成為當今網絡安全專業人士面臨的最大問題之一。對於組織來說,對這些難以檢測的攻擊實施有效保護至關重要。
在所有使用的軟件中,瀏覽器暴露最多。他們不斷與外界聯繫,並經常與網絡犯罪分子感染惡意軟件的網站和應用程序進行交互。瀏覽器是功能強大,數據豐富的工具,如果受到攻擊,可以為攻擊者提供大量有關您的信息,包括您的個人地址,電話號碼,信用卡數據,電子郵件,ID,密碼,瀏覽歷史記錄,書籤等。
瀏覽器也是網絡犯罪分子在您的設備,個人網絡和業務系統上建立立足點的理想工具。瀏覽器依賴於許多第三方插件(如JavaScript,Flash和ActiveX)來執行各種任務。但是,這些插件通常帶有安全漏洞,網絡犯罪分子利用這些漏洞來訪問您的系統。這些漏洞允許攻擊者通過安裝勒索軟件,洩露數據和竊取知識產權等方式造成嚴重破壞。
在過去一年左右的時間裡,我們看到網絡威脅急劇增加,專門用於利用基於瀏覽器的漏洞。這種受歡迎程度的提高不僅因為瀏覽器在戰略上是理想的黑客攻擊目標,而且因為很難檢測到基於瀏覽器的Web威脅。大多數惡意軟件檢測和防護技術通過檢查下載或附件等文件來工作。但是,基於瀏覽器的威脅不一定使用文件,因此傳統的安全控制無需分析。除非組織實施不依賴於分析文件的高級工具,否則基於瀏覽器的攻擊可能不會被發現。
鑑於基於瀏覽器的攻擊功能強大且難以發現,因此很容易理解為什麼它們變得如此突出。他們只是工作。
基於瀏覽器的網絡威脅如何運作
作為基於瀏覽器的攻擊如何工作的示例,請考慮一個Windows用戶訪問看似良性但現在是惡意網站的情況,可能是他或她之前訪問過的網站,或者是誘人電子郵件的結果。一旦發生連接,用戶的瀏覽器就開始與站點進行交互。假設系統使用的是JavaScript,根據像Web Technology Surveys這樣的研究公司,94%的網站都有,而且超過90%的瀏覽器都啟用了它,瀏覽器會立即從惡意網站下載並開始執行JavaScript文件。
該JavaScript可以包含惡意代碼這是能夠捕獲受害者的數據,改變它,並注入新的或者不同的數據到他們的Web應用程序,所有的背景和對用戶不可見。例如,惡意軟件作者用於實現此目的的一種方法是在JavaScript中嵌入混淆的Adobe Flash文件。Flash經常被使用,因為它看似永無止境的漏洞。以下是典型情況的代表:
l Flash代碼調用PowerShell,這是一個功能強大的OS工具,可以執行管理操作並存在於每臺Windows機器上。
l Flash通過其命令行界面向PowerShell提供指令。
l PowerShell連接到攻擊者擁有的隱藏命令和控制服務器。
l 命令和控制服務器將惡意PowerShell腳本下載到受害者的設備,該設備捕獲或查找敏感數據並將其發送回攻擊者。
l 在攻擊者達到目標後,JavaScript,Flash和PowerShell腳本將從內存中刪除,基本上沒有任何違規記錄。
打擊基於瀏覽器的網絡威脅
大多數惡意軟件檢測系統通過驗證鏈接的信譽或安全性以及評估已知威脅的附件和下載等文件來工作。在此處描述的基於瀏覽器的攻擊中,安全系統可能沒有任何要分析的鏈接或文件,因此傳統的反惡意軟件技術通常無效。儘管如此,仍有一些方法可以抵禦基於瀏覽器的攻擊。即使沒有文件,最新和最先進的惡意軟件檢測技術也可以評估JavaScript和Flash數據。這些創新工具從設備的內存中提取JavaScript和Flash內容,並檢查靜態和動態異常,例如:
(1) 靜態 – 結構異常
l 數組或字符串中存在不尋常的shellcode
l 缺少或添加細分
l 嵌入文件
l 可疑的函數參數
l 代碼注入的證據,如隱藏的iframe或異常標記
l 代碼混淆的跡象,例如編碼,或特定的JavaScript函數,如加密或指紋識別
l 利用的跡象 – 結構相似性,簽名
(2) 動態 – 行為異常
l 異常進程行為 – 代碼可能不會丟棄文件但可能會導致網絡連接異常,或者嘗試啟動異常進程
l 堆噴塗 – 通過利用瀏覽器漏洞將代碼插入預定位置
l 嘗試修改系統文件或組件
l 與已知惡意站點或命令和控制中心的連接
l 逃避戰術如拖延
雖然通過分析組織員工遇到的每一點JavaScript和Flash內容,當然可以查找上面列出的所有可能的異常,但這是不切實際的。對每個實例進行全面測試至少需要一定程度的行為分析,這可能需要60秒或更長時間。鑑於典型公司的員工每天都會遇到大量的JavaScript和Flash,因此對所有員工進行全面的行為分析是不可行的。幸運的是,我們沒有。
過濾方法可以評估基於瀏覽器的威脅
良好的惡意軟件檢測引擎可以分階段評估代碼,而不是讓每個JavaScript實例都進行完整的靜態和動態分析。在初始階段,引擎僅執行靜態分析,不需要執行代碼。由於惡意軟件檢測系統可以實時執行此操作,因此可以在此級別評估所有JavaScript和Flash內容。成功通過此過濾器的代碼,大部分將在正常操作期間執行,無需進行其他測試。
在惡意軟件檢測引擎在初始靜態分析階段遇到異常的情況下,它可以更密切地檢查代碼。最嚴格和耗時的測試只需要在以前所有測試都表明存在大量惡意軟件風險的罕見情況下進行。例如,靜態分析可能會識別可能是惡意的功能,例如數據加密。可以加密數據的代碼可能是勒索軟件。在這種情況下,系統還將執行動態分析,以確定代碼是否確實是惡意行為,或者是否以良性和適當的方式使用加密功能。
靜態分析可以有效地檢測各種異常,例如異常宏,丟失或添加的結構或段,與網絡犯罪分子使用的命令和控制服務器的對應等等。其中一些功能非常表明惡意,系統可以立即將對象評為高風險。如果有任何疑問,系統還會執行動態分析來測試代碼執行時實際執行的操作。
如果靜態分析沒有發現任何可疑之處,系統可以以高準確率將對象評分為低風險並繞過動態分析。
通過使用這種分階段的方法,系統可以完全測試所有可疑對象,從根本上消除誤報。結合僅在必要時執行動態分析所獲得的效率,測試所有JavaScript和Flash文件是否存在惡意軟件變得可行。
惡意軟件不斷髮展,我們必須這樣做
網絡犯罪分子一直在努力尋找新的更有效的方式來滲透我們的計算機,設備和網絡。基於瀏覽器的網絡威脅最近的演變是一個難以檢測和有效的惡意新技術的尖銳例子。
由於傳統的反惡意軟件產品幾乎不可能有效地評估所有JavaScript和類似的基於瀏覽器的對象,因此企業通常容易受到這些新威脅的攻擊。為了有效地保護自己,組織還必須不斷髮展並不斷升級其威脅防禦工具,以應對惡意軟件的最新變化。一種方法是實現過濾方法,實時評估所有代碼,並使用完整的動態分析測試可疑代碼。
“小鳥雲”是深圳前海小鳥雲計算有限公司旗下的雲計算服務品牌,專注為個人開發者用戶、中小型、大型企業用戶提供一站式核心網絡雲端部署服務,促使用戶雲端部署化簡為零,輕鬆快捷運用雲計算。小鳥雲是國內為數不多具有ISP/IDC雙資質的專業雲計算服務商,同時持有系統軟件著作權證書、CNNIC地址分配聯盟成員證書,通過了ISO27001信息安全管理體系國際認證、ISO9001質量保證體系國際認證。
作為卓越的雲計算服務商,小鳥雲有著完善的行業解決方案和精湛的雲計算技術。自主研發的純SSD架構雲服務器,以50,000IOPS隨機讀寫速度、800Mb/s吞吐量的高性能數值刷新行業記錄。其整合資源、細化資源到落地資源的服務舉措,旨在打造差異化的開放式閉環生態系統,幫助用戶快速構建穩定、安全的雲計算環境。且雲計算強大的計算能力和彈性擴展優勢有效降低用戶開發運維難度和整體IT成本,讓用戶能更專注於核心業務的創新,實現自身更多價值。
閱讀更多 雲計算那點事 的文章
關鍵字: Windo 網絡安全 PowerShell
