基于浏览器的网络威胁:它们如何攻击以及如何防范它们

发布者:上海IT外包来源:http://www.lanmon.net点击数:1064

基于浏览器的网络威胁已成为当今网络安全专业人员面临的最大问题之一。对于组织而言,有效防范这些难以检测的攻击至关重要。
在所有使用的软件中,浏览器最为暴露。他们经常与外界联系,并经常与网络犯罪分子感染恶意软件的网站和应用程序进行交互。浏览器是一个功能强大,数据丰富的工具,如果受到攻击,可以提供大量有关您的信息,包括您的个人地址,电话号码,信用卡数据,电子邮件,ID,密码,浏览历史记录,书签。等待。
浏览器网络威胁
浏览器也是网络犯罪分子在您的设备,个人网络和业务系统上建立立足点的理想工具。浏览器依赖许多第三方插件(例如JavaScript,Flash和ActiveX)来执行各种任务。但是,这些插件通常具有网络犯罪分子用来访问系统的安全漏洞。这些漏洞使攻击者可以通过安装勒索软件,泄漏数据和窃取知识产权来造成严重破坏。
在过去一年左右的时间里,我们看到网络威胁急剧增加,特别是利用基于浏览器的漏洞。这种受欢迎程度的提高不仅是因为浏览器在战略上是理想的黑客攻击目标,而且因为很难检测到基于浏览器的Web威胁。大多数恶意软件检测和防护技术通过检查下载或附件等文件来工作。但是,基于浏览器的威胁不一定使用文件,因此传统的安全控制不需要分析。除非组织实施不依赖于分析文件的高级工具,否则可能无法发现基于浏览器的攻击。
鉴于基于浏览器的攻击功能强大且难以找到,因此很容易理解为什么它们如此突出。他们只是在工作。
基于浏览器的网络威胁如何运作
作为基于浏览器的攻击如何工作的示例,请考虑Windows用户访问看似良性但现在是恶意网站的情况,可能是他或她之前访问过的网站,或者是诱人电子邮件的结果。一旦发生连接,用户的浏览器就开始与站点进行交互。假设系统使用JavaScript。据Web Technology Surveys等研究公司称,94%的网站拥有它,超过90%的浏览器都支持它。浏览器将立即下载并开始从恶意网站执行JavaScript文件。JavaScript可以包含恶意代码,该代码能够捕获受害者数据,更改受害者数据,并将新的或不同的数据注入其Web应用程序,所有背景和用户不可见。例如,恶意软件作者可以这样做的一种方法是在JavaScript中嵌入令人困惑的Adobe Flash文件。经常使用Flash,因为它看起来像一个永无止境的漏洞。以下是典型情况的代表:
Flash代码调用PowerShell,这是一个功能强大的OS工具,可执行管理操作并存在于每台Windows机器上。
Flash通过其命令行界面向PowerShell提供指令。
PowerShell连接到攻击者拥有的隐藏命令和控制服务器。
命令和控制服务器将恶意PowerShell脚本下载到受害者的设备,该设备捕获或查找敏感数据并将其发送回攻击者。
攻击者到达目标后,将从内存中删除JavaScript,Flash和PowerShell脚本,几乎没有违规记录。
抵御基于浏览器的网络威胁
大多数恶意软件检测系统通过验证链接的信誉或安全性,以及评估已知威胁的附件和下载来工作。在此处描述的基于浏览器的攻击中,安全系统可能没有任何要分析的链接或文件,因此传统的反恶意软件技术通常无效。仍有一些方法可以防止基于浏览器的攻击。即使没有文件,最新和最先进的恶意软件检测技术也可以评估JavaScript和Flash数据。这些创新工具从设备的内存中提取JavaScript和Flash内容,并检查静态和动态异常,例如:
(1)静态 - 结构异常
数组或字符串中不寻常的shellcode
缺少或添加细分
嵌入式文件
可疑功能参数
代码注入的证据,例如隐藏的iframe或异常标记
代码混淆的迹象,例如编码,或特定的JavaScript函数,如加密或指纹识别
使用标志 - 结构相似性,签名
(2)动态 - 行为异常
异常进程行为 - 代码可能不会丢弃文件,但可能导致网络连接异常或尝试启动异常进程
堆喷雾 - 利用浏览器漏洞将代码插入预定位置
尝试修改系统文件或组件
连接到已知的恶意站点或命令和控制中心
逃避战术如延迟
通过分析组织员工遇到的JavaScript和Flash内容的每一点,寻找上面列出的所有可能的例外肯定是不切实际的。对每个实例进行全面测试至少需要一定程度的行为分析,这可能需要60秒或更长时间。鉴于典型公司的员工每天都会遇到大量的JavaScript和Flash,因此对所有员工进行全面的行为分析是不可行的。幸运的是,我们没有它。过滤方法以评估基于浏览器的威胁
一个好的恶意软件检测引擎可以分阶段评估代码,而不是对每个JavaScript实例进行完整的静态和动态分析。在初始阶段,引擎仅执行静态分析,不需要执行代码。由于恶意软件检测系统可以实时执行此操作,因此可以在此级别评估所有JavaScript和Flash内容。成功通过此过滤器的大多数代码将在正常操作期间执行,无需额外测试。
在恶意软件检测引擎在初始静态分析阶段遇到异常的情况下,它可以更密切地检查代码。最严格和耗时的测试只需要在极少数情况下进行,所有先前的测试都显示出高水平的恶意软件风险。例如,静态分析可能会识别可能是恶意的功能,例如数据加密。可以加密数据的代码可能是勒索软件。在这种情况下,系统还将执行动态分析以确定代码是否确实是恶意的,或者加密是否以良性和适当的方式使用。
静态分析可以有效地检测各种异常,例如异常宏,丢失或添加的结构或段,与网络犯罪分子使用的命令和控制服务器的对应等。其中一些功能非常恶意,系统可以立即将对象评为高风险。如果有任何疑问,系统还会执行动态分析,以测试代码执行时实际执行的操作。
如果静态分析没有发现任何可疑性,系统可以低风险对对象进行评分,并高精度地绕过动态分析。
通过使用这种分阶段的方法,系统可以完全测试所有可疑对象,完全消除误报。测试所有JavaScript和Flash文件的恶意软件的存在以及仅在必要时执行动态分析所获得的效率是可行的。
恶意软件在不断发展,我们必须这样做
网络犯罪分子一直在努力寻找新的更有效的方式来渗透我们的计算机,设备和网络。最近基于浏览器的网络威胁的演变是一种难以检测和有效的新的恶意技术的一个明显例子。
由于传统的反恶意软件产品几乎不可能有效地评估所有JavaScript和类似的基于浏览器的对象,因此企业通常容易受到这些新威胁的攻击。为了有效地保护自己,组织必须继续发展并不断升级其威胁防御工具,以解决恶意软件的最新变化。一种方法是实现一种过滤方法,该方法实时评估所有代码并使用完整的动态分析测试可疑代码。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部