作者:快快网络来源:简书
基于浏览器的网络威胁已经是当今很多网络安全专业人事头疼的问题,那么,我们要如何防御基于浏览器的网络攻击呢?
浏览器网络威胁原理
在所有使用的软件中,浏览器暴露最多。他们不断与外界联系,并经常与网络犯罪分子感染恶意软件的网站和应用程序进行交互。
浏览器是功能强大,数据丰富的工具,如果受到攻击,可以为攻击者提供大量有关您的信息,包括您的个人地址,电话号码,信用卡数据,电子邮件,ID,密码,浏览历史记录,书签等。
浏览器也是网络犯罪分子在您的设备,个人网络和业务系统上建立立足点的理想工具。
浏览器依赖于许多第三方插件(如JavaScript,Flash和ActiveX)来执行各种任务。但是,这些插件通常带有安全漏洞,网络犯罪分子利用这些漏洞来访问您的系统。
这些漏洞允许攻击者通过安装勒索软件,泄露数据和窃取知识产权等方式造成严重破坏。
在过去一年左右的时间里,我们看到网络威胁急剧增加,专门用于利用基于浏览器的漏洞。这种受欢迎程度的提高不仅因为浏览器在战略上是理想的黑客攻击目标,而且因为很难检测到基于浏览器的Web威胁。
大多数恶意软件检测和防护技术通过检查下载或附件等文件来工作。但是,基于浏览器的威胁不一定使用文件,因此传统的安全控制无需分析。除非组织实施不依赖于分析文件的高级工具,否则基于浏览器的攻击可能不会被发现。
鉴于基于浏览器的攻击功能强大且难以发现,因此很容易理解为什么它们变得如此突出。
一个Windows用户访问看似良性但现在是恶意网站,一旦发生连接,用户的浏览器就开始与站点进行交互,浏览器会立即从恶意网站下载并开始执行JavaScript文件。JavaScript文件包含恶意代码,能够捕获受害者的数据。
典型情况的代表:
1、Flash代码调用PowerShell,这是一个功能强大的OS工具,可以执行管理操作并存在于每台Windows机器上。
2、Flash通过其命令行界面向PowerShell提供指令。
3、PowerShell连接到攻击者拥有的隐藏命令和控制服务器。
4、命令和控制服务器将恶意PowerShell脚本下载到受害者的设备,该设备捕获或查找敏感数据并将其发送回攻击者。
5、在攻击者达到目标后,JavaScript,Flash和PowerShell脚本将从内存中删除,基本上没有任何违规记录。
如何做
1、采用最新和先进的恶意软件检测技术
评估JavaScript和Flash数据,从中提取内容,检查静态和动态异常。例如:
(1) 静态 – 结构异常
- 数字或字符串中存在不寻常的shellcode
- 缺少或添加细分
- 嵌入文件
- 可疑的函数参数
- 代码注入的证据,如隐藏的iframe或异常标记
- 代码混淆的迹象,例如编码,或特定的JavaScript函数,如加密或指纹识别
- 利用的迹象 – 结构相似性,签名
(2) 动态 – 行为异常
- 异常进程行为 – 代码可能不会丢弃文件但可能会导致网络连接异常,或者尝试启动 异常进程
- 通过利用浏览器漏洞将代码插入预定位置
- 尝试修改系统文件或组件
- 与已知恶意站点或命令和控制中心的连接
- 逃避战术如拖延
此外,我们需要对每个实例进行全面测试,还需要进行一定程度的行为分析,用时60秒或更长时间。
2、过滤方法,评估基于浏览器的威胁。
通过过滤分阶段评估代码,无需进行其他测试。在恶意软件检测引擎在初始静态分析阶段遇到异常的情况下,它可以更密切地检查代码。
通过使用这种分阶段的方法,系统可以完全测试所有可疑对象,从根本上消除误报。结合仅在必要时执行动态分析所获得的效率,测试所有JavaScript和Flash文件是否存在恶意软件变得可行。
3、不断升级浏览器威胁防御工具
适应不断变化的恶意软件攻击形式,由于传统的反恶意软件产品几乎不可能有效地评估所有JavaScript和类似的基于浏览器的对象,因此企业通常容易受到这些新威胁的攻击。
为了有效地保护自己,组织还必须不断发展并不断升级其威胁防御工具,以应对恶意软件的最新变化。一种方法是实现过滤方法,实时评估所有代码,并使用完整的动态分析测试可疑代码。
言者无罪,闻者足戒 。——白居易《与九元书》
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾:从现在开始,我的每一句话都是认真的。
如果,你被攻击了,别打110、119、120,来这里看着就行。
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。