一種在瀏覽器端偵測并阻擋頁惡意程式的解決方案a

1、一種在瀏覽器端偵測並阻擋網(wǎng)頁惡意程式的解決方案A BROWSER-SIDE SOLUTION TO DRIVE-BY-DOWNLOAD-BASED MALICIOUS WEB PAGES,左昌國　陳世仁　許富皓國立中央大學(xué)資訊工程學(xué)系先進(jìn)防禦實(shí)驗(yàn)室資訊安全通訊１５卷４期,指導(dǎo)教授：葉禾田教授　報告人：李冠毅　　　　　M99F0206,前言,根據(jù)X-Force 在2008 年的年度研究報告指出[1]，在所有的弱點(diǎn)類型當(dāng)中，有超過

2、54%的弱點(diǎn)數(shù)量與網(wǎng)站應(yīng)用程式有關(guān)。資料隱碼攻擊 (SQL injection)(在網(wǎng)站應(yīng)用程式弱點(diǎn)分類當(dāng)中將近40%)已經(jīng)取代了跨站腳本攻擊(Cross-Site Scripting)成為2008 年最嚴(yán)重的網(wǎng)站威脅。,前言,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,攻擊者先利用正常網(wǎng)頁伺服器的漏洞進(jìn)行攻擊(如資料隱碼攻擊)來取得伺服器或是修改網(wǎng)頁的權(quán)限。在

3、伺服器上的網(wǎng)頁加入一小段HTML 程式碼，這段程式碼會讓訪客的瀏覽器自行去攻擊者的伺服器下載含有攻擊程式碼與遠(yuǎn)端執(zhí)行程式碼的網(wǎng)頁或是腳本檔案。,圖：攻擊者插入正常網(wǎng)頁的轉(zhuǎn)向HTML原始碼範(fàn)例,DRIVE-BY DOWNLOADS,遠(yuǎn)端執(zhí)行程式碼會去攻擊者的其他網(wǎng)站下載惡意程式回來，並且執(zhí)行惡意程式。為了確保惡意程式的隱匿性，通常會先下載的惡意程式會是木馬下載器(Trojan Downloader)。一旦成功執(zhí)行木馬下載器，遠(yuǎn)端執(zhí)行程式

4、會嘗試去回復(fù)原本瀏覽的網(wǎng)頁，並且結(jié)束遠(yuǎn)端執(zhí)行程式碼。而執(zhí)行成功的木馬下載器則會去其他地方下載惡意程式(如隱匿程式等)。,INTERNET EXPLORER的一般執(zhí)行流程,應(yīng)用程式介面(API),Internet Explorer 在瀏覽網(wǎng)頁的時候，是把網(wǎng)頁上的所有元件，包含網(wǎng)頁原始碼、腳本文件、層疊樣式表(Cascading Style Sheets，簡稱CSS)、以及多媒體檔案等等，都先下載到本地端，再分別去解譯或是執(zhí)行。而使用者主動

5、下載的檔案也是透過這個分類去達(dá)成。,一般檔案下載流程,使用者透過滑鼠右鍵CONTEXT MENU 主動下載檔案流程,,一般執(zhí)行檔案的流程,瀏覽網(wǎng)頁事件,Internet Explorer 為了提供使用者更多的功能，開發(fā)出一些介面(Interface)讓程式開發(fā)者可以用來在瀏覽器上製作一些新的功能。其中，DwebBrowserEvents2 這個介面提供了使用C 與C++語言的程式設(shè)計師能夠在瀏覽器控制(WebBrowser Cont

6、rol)上，取得一些事件的通知(Notification)。例如透過BeforeNavigate2 這個成員，程式可以取得即將有一個物件要被瀏覽這個事件。,INTERNET EXPLORER的一般執(zhí)行流程,系統(tǒng)設(shè)計,Internet Explorer 可以讓第三方程式開發(fā)者設(shè)計一些新的功能讓瀏覽器的使用者更方便，Browser Help Objects(以下簡稱BHO)就是一種被用來達(dá)成此一目標(biāo)的模組。因?yàn)镮nternet Explo

7、rer 一開起馬上就會載入BHO，一直到結(jié)束才會卸載，而且BHO存在於Internet Explorer 的程序裡，可以輕易的存取到Internet Explorer 的記憶體及資料，因此本研究的解決方案是建構(gòu)在BHO 上。,系統(tǒng)設(shè)計,系統(tǒng)設(shè)計,Internet Explorer 部分如前面介紹。Blacklist Server，是為了用來保護(hù)及保存黑名單(即前面提到的特徵值)。因有兩個程式同時工作，需要一套程序間互相溝通(Inte

8、r-process Communication，IPC)的機(jī)制。Windows 提供了一套IPC 機(jī)制，叫做Pipe。本研究採用了其中一種Pipe — Named Pipes。,系統(tǒng)設(shè)計,系統(tǒng)設(shè)計,BeforeNavigate2 以及DoFileDownload 都有URL 資訊，當(dāng)攔截到這兩個事件(或API)時，直接把URL 加進(jìn)白名單(WhiteList)裡。等到真正在下載的時候，攔截InternetReadFile API 並

9、且經(jīng)由之前所取得的URL 資訊查詢白名單(WhiteList)：若是正常檔案(即原白名單內(nèi)有資料)則加入另一個白名單(包含雜湊資訊)。反之則加入黑名單(BlackList)。某些惡意的情況下，會直接執(zhí)行WriteFile，因此也必須攔截WriteFile 並查詢之前在InternetReadFile 的時候是否有加入白名單(包含雜湊資訊)內(nèi)，若是沒有則是為惡意行為，並加入黑名單。,系統(tǒng)設(shè)計,執(zhí)行階段只需要攔截CreateProce

10、ssInternal 這個API，因?yàn)?CreateProcess API 必定會呼叫上敘API，因此只需要攔截CreateProcessInternal 就可以保證攔截所有的執(zhí)行行為。,結(jié)論,對於Drive-by Downloads近期的防禦方法都偏重在網(wǎng)頁信用評等方式，雖然有效，但是無法抵禦零時差攻擊以及針對性的攻擊。本研究著重在網(wǎng)頁形態(tài)漏洞攻擊當(dāng)中必經(jīng)的道路，下載惡意程式並執(zhí)行這些行動。若是能阻擋惡意程式的執(zhí)行，就能夠把傷害降到