如何防范基于瀏覽器的網絡威脅

張曉藝

基于瀏覽器的網絡威脅已成為當今網絡安全專業人士面臨的最大問題之一，對于組織來說，對這些難以檢測的攻擊實施有效保護至關重要。

在所有使用的軟件中，瀏覽器暴露最多，他們不斷與外界聯系，并經常與網絡犯罪分子感染惡意軟件的網站和應用程序進行交互。瀏覽器是功能強大、數據豐富的工具，如果受到攻擊，可為攻擊者提供大量信息，包括個人地址、電話號碼、信用卡數據、電子郵件、ID、密碼、瀏覽歷史記錄和書簽等。

瀏覽器也是網絡犯罪分子在設備、個人網絡和業務系統上建立立足點的理想工具。瀏覽器依賴于許多第三方插件（如JavaScript，Flash，ActiveX）來執行各種任務。但是，這些插件通常帶有安全漏洞，網絡犯罪分子利用這些漏洞來訪問系統，這些漏洞允許攻擊者通過安裝勒索軟件、泄露數據和竊取知識產權等方式造成嚴重破壞。

在過去一年左右的時間里，網絡威脅急劇增加，專門利用基于瀏覽器的漏洞。這種受歡迎程度的提高不僅因為瀏覽器在戰略上是理想的黑客攻擊目標，而且因為很難檢測到基于瀏覽器的Web威脅。大多數惡意軟件檢測和防護技術通過檢查下載或附件等文件來工作。但是，基于瀏覽器的威脅不一定使用文件，因此傳統的安全控制無法分析，除非組織實施不依賴于分析文件的高級工具，否則基于瀏覽器的攻擊可能不會被發現。

鑒于基于瀏覽器的攻擊功能強大且難以發現，因此很容易理解為什么它們變得如此突出。

基于瀏覽器的網絡威脅如何運作

作為基于瀏覽器的攻擊如何工作的示例，請考慮一個Windows用戶訪問看似良性但實際是惡意網站的情況，這可能是之前訪問過的網站，或者是點擊了誘人電子郵件的結果。一旦發生連接，用戶的瀏覽器就開始與站點進行交互，假設系統使用的是JavaScript，（94%的網站都有，而且超過90 %的瀏覽器都啟用了它）瀏覽器會立即從惡意網站下載并執行JavaScript文件。

JavaScript可以包含惡意代碼，能夠捕獲受害者的數據，改變注入新的或者不同的數據到他們的Web應用程序，所有的背景對用戶不可見。例如，惡意軟件作者用于實現此目的的一種方法是在JavaScript中嵌入混淆的Adobe Flash文件。以下是典型情況的代表：

Flash代碼調用PowerShell，這是一個功能強大的OS工具，可以執行管理操作并存于每臺Windows機器上；

Flash通過其命令行界面向PowerShell提供指令；

PowerShell連接到攻擊者擁有的隱藏命令和控制服務器；

命令和控制服務器將惡意PowerShell腳本下載到受害者的設備，該設備捕獲或查找敏感數據并將其發送回攻擊者。

在攻擊者達到目標后，JavaScript，Flash，PowerShell腳本將從內存中刪除，基本上沒有任何違規記錄。

打擊基于瀏覽器的網絡威脅

大多數惡意軟件檢測系統通過驗證鏈接、或通過安全性評估已知威脅的附件下載文件來工作。在此處描述的基于瀏覽器的攻擊中，安全系統可能沒有任何要分析的鏈接或文件，因此傳統的反惡意軟件技術通常無效。

盡管如此，仍有一些方法可以抵御基于瀏覽器的攻擊。即使沒有文件，最新和最先進的惡意軟件檢測技術也可以評估JavaScript和Flash數據。這些創新工具從設備的內存中提取JavaScript和Flash內容，并檢查靜態和動態異常，例如：

（1）靜態-結構異常

數組或字符串中存在不尋常的shellcode；

缺少或添加細分；

嵌入文件；

可疑的函數參數；

代碼注入的證據，如隱藏的iframe或異常標記；

代碼混淆的跡象，例如編碼或特定的JavaScript函數（如加密或指紋識別）。

利用的跡象-結構相似性，簽名

（2）動態-行為異常

異常進程行為，代碼可能不會丟棄文件但可能會導致網絡連接異常，或者嘗試啟動異常進程；

堆噴涂，通過利用瀏覽器漏洞將代碼插入預定位置；

嘗試修改系統文件或組件；

與已知惡意站點或命令和控制中心的連接；

逃避戰術，如拖延。

雖然通過分析組織員工遇到的每一點JavaScript和Flash內容，可以查找上面列出的所有可能的異常，但這是不切實際的。對每個實例進行全面測試至少需要一定程度的行為分析，這可能需要60秒或更長時間。鑒于公司的員工每天都會遇到大量的JavaScript和Flash，因此對所有員工進行全面的行為分析是不可行的。

過濾方法可以評估基于瀏覽器的威脅

良好的惡意軟件檢測引擎可以分階段評估代碼，而不是讓每個JavaScript實例都進行完整的靜態和動態分析，在初始階段，引擎僅執行靜態分析，不需要執行代碼。由于惡意軟件檢測系統可以實時執行此操作，因此可以在此級別評估所有JavaScript和Flash內容。成功通過此過濾器的代碼，大部分將在正常操作期間執行，無需進行其他測試。

惡意軟件檢測引擎在初始靜態分析階段遇到異常的情況下，可以更密切地檢查代碼。最嚴格和耗時的測試只需要在此前所有測試都表明存在大量惡意軟件風險的罕見情況下進行。靜態分析會識別可能是惡意的功能（例如數據加密），可以加密數據的代碼可能是勒索軟件，在這種情況下，系統還將執行動態分析，以確定代碼是否確實是惡意行為，或者是否以良性和適當的方式使用加密功能。

靜態分析可以有效地檢測各種異常，例如異常宏、丟失或添加的結構或段以及與網絡犯罪分子使用的命令和控制服務器的對應等。如果發現其中一些功能非常明顯的惡意，系統可以立即將對象評為高風險。如果有疑問，系統還會執行動態分析來測試代碼執行時實際執行的操作。

如果靜態分析沒有發現任何可疑之處，系統可以將對象評分為低風險并繞過動態分析。

通過使用這種分階段的方法，系統可以完全測試所有可疑對象，從根本上消除誤報。結合僅在必要時執行動態分析所獲得的效率，測試所有JavaScript，Flash文件是否存在惡意軟件變得可行。

惡意軟件不斷發展，我們必須這樣做

網絡犯罪分子一直在努力尋找新的、更有效的方式來滲透我們的計算機、設備和網絡。基于瀏覽器的網絡威脅最近的演變是一個難以檢測和有效的惡意新技術的例子。

由于傳統的反惡意軟件產品幾乎不可能有效地評估所有JavaScript和類似的基于瀏覽器的對象，因此企業通常容易受到新威脅的攻擊。為了有效地保護自己，組織還必須不斷升級其威脅防御工具，以應對惡意軟件的最新變化。