一種在瀏覽器端偵測(cè)并阻擋頁(yè)惡意程式的解決方案a

1、一種在瀏覽器端偵測(cè)並阻擋網(wǎng)頁(yè)惡意程式的解決方案A BROWSER-SIDE SOLUTION TO DRIVE-BY-DOWNLOAD-BASED MALICIOUS WEB PAGES,左昌國(guó)　陳世仁　許富皓國(guó)立中央大學(xué)資訊工程學(xué)系先進(jìn)防禦實(shí)驗(yàn)室資訊安全通訊１５卷４期,指導(dǎo)教授：葉禾田教授　報(bào)告人：李冠毅　　　　　M99F0206,前言,根據(jù)X-Force 在2008 年的年度研究報(bào)告指出[1]，在所有的弱點(diǎn)類型當(dāng)中，有超過(guò)

2、54%的弱點(diǎn)數(shù)量與網(wǎng)站應(yīng)用程式有關(guān)。資料隱碼攻擊 (SQL injection)(在網(wǎng)站應(yīng)用程式弱點(diǎn)分類當(dāng)中將近40%)已經(jīng)取代了跨站腳本攻擊(Cross-Site Scripting)成為2008 年最嚴(yán)重的網(wǎng)站威脅。,前言,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,攻擊者先利用正常網(wǎng)頁(yè)伺服器的漏洞進(jìn)行攻擊(如資料隱碼攻擊)來(lái)取得伺服器或是修改網(wǎng)頁(yè)的權(quán)限。在

3、伺服器上的網(wǎng)頁(yè)加入一小段HTML 程式碼，這段程式碼會(huì)讓訪客的瀏覽器自行去攻擊者的伺服器下載含有攻擊程式碼與遠(yuǎn)端執(zhí)行程式碼的網(wǎng)頁(yè)或是腳本檔案。,圖：攻擊者插入正常網(wǎng)頁(yè)的轉(zhuǎn)向HTML原始碼範(fàn)例,DRIVE-BY DOWNLOADS,遠(yuǎn)端執(zhí)行程式碼會(huì)去攻擊者的其他網(wǎng)站下載惡意程式回來(lái)，並且執(zhí)行惡意程式。為了確保惡意程式的隱匿性，通常會(huì)先下載的惡意程式會(huì)是木馬下載器(Trojan Downloader)。一旦成功執(zhí)行木馬下載器，遠(yuǎn)端執(zhí)行程式

4、會(huì)嘗試去回復(fù)原本瀏覽的網(wǎng)頁(yè)，並且結(jié)束遠(yuǎn)端執(zhí)行程式碼。而執(zhí)行成功的木馬下載器則會(huì)去其他地方下載惡意程式(如隱匿程式等)。,INTERNET EXPLORER的一般執(zhí)行流程,應(yīng)用程式介面(API),Internet Explorer 在瀏覽網(wǎng)頁(yè)的時(shí)候，是把網(wǎng)頁(yè)上的所有元件，包含網(wǎng)頁(yè)原始碼、腳本文件、層疊樣式表(Cascading Style Sheets，簡(jiǎn)稱CSS)、以及多媒體檔案等等，都先下載到本地端，再分別去解譯或是執(zhí)行。而使用者主動(dòng)

5、下載的檔案也是透過(guò)這個(gè)分類去達(dá)成。,一般檔案下載流程,使用者透過(guò)滑鼠右鍵CONTEXT MENU 主動(dòng)下載檔案流程,,一般執(zhí)行檔案的流程,瀏覽網(wǎng)頁(yè)事件,Internet Explorer 為了提供使用者更多的功能，開發(fā)出一些介面(Interface)讓程式開發(fā)者可以用來(lái)在瀏覽器上製作一些新的功能。其中，DwebBrowserEvents2 這個(gè)介面提供了使用C 與C++語(yǔ)言的程式設(shè)計(jì)師能夠在瀏覽器控制(WebBrowser Cont

6、rol)上，取得一些事件的通知(Notification)。例如透過(guò)BeforeNavigate2 這個(gè)成員，程式可以取得即將有一個(gè)物件要被瀏覽這個(gè)事件。,INTERNET EXPLORER的一般執(zhí)行流程,系統(tǒng)設(shè)計(jì),Internet Explorer 可以讓第三方程式開發(fā)者設(shè)計(jì)一些新的功能讓瀏覽器的使用者更方便，Browser Help Objects(以下簡(jiǎn)稱BHO)就是一種被用來(lái)達(dá)成此一目標(biāo)的模組。因?yàn)镮nternet Explo

7、rer 一開起馬上就會(huì)載入BHO，一直到結(jié)束才會(huì)卸載，而且BHO存在於Internet Explorer 的程序裡，可以輕易的存取到Internet Explorer 的記憶體及資料，因此本研究的解決方案是建構(gòu)在BHO 上。,系統(tǒng)設(shè)計(jì),系統(tǒng)設(shè)計(jì),Internet Explorer 部分如前面介紹。Blacklist Server，是為了用來(lái)保護(hù)及保存黑名單(即前面提到的特徵值)。因有兩個(gè)程式同時(shí)工作，需要一套程序間互相溝通(Inte

8、r-process Communication，IPC)的機(jī)制。Windows 提供了一套IPC 機(jī)制，叫做Pipe。本研究採(cǎi)用了其中一種Pipe — Named Pipes。,系統(tǒng)設(shè)計(jì),系統(tǒng)設(shè)計(jì),BeforeNavigate2 以及DoFileDownload 都有URL 資訊，當(dāng)攔截到這兩個(gè)事件(或API)時(shí)，直接把URL 加進(jìn)白名單(WhiteList)裡。等到真正在下載的時(shí)候，攔截InternetReadFile API 並

9、且經(jīng)由之前所取得的URL 資訊查詢白名單(WhiteList)：若是正常檔案(即原白名單內(nèi)有資料)則加入另一個(gè)白名單(包含雜湊資訊)。反之則加入黑名單(BlackList)。某些惡意的情況下，會(huì)直接執(zhí)行WriteFile，因此也必須攔截WriteFile 並查詢之前在InternetReadFile 的時(shí)候是否有加入白名單(包含雜湊資訊)內(nèi)，若是沒(méi)有則是為惡意行為，並加入黑名單。,系統(tǒng)設(shè)計(jì),執(zhí)行階段只需要攔截CreateProce

10、ssInternal 這個(gè)API，因?yàn)?CreateProcess API 必定會(huì)呼叫上敘API，因此只需要攔截CreateProcessInternal 就可以保證攔截所有的執(zhí)行行為。,結(jié)論,對(duì)於Drive-by Downloads近期的防禦方法都偏重在網(wǎng)頁(yè)信用評(píng)等方式，雖然有效，但是無(wú)法抵禦零時(shí)差攻擊以及針對(duì)性的攻擊。本研究著重在網(wǎng)頁(yè)形態(tài)漏洞攻擊當(dāng)中必經(jīng)的道路，下載惡意程式並執(zhí)行這些行動(dòng)。若是能阻擋惡意程式的執(zhí)行，就能夠把傷害降到