基于浏览器的网络威胁已经成为当今网络安全面临的最大问题之一。在所有使用的软件中,浏览器是暴露最多的。他们经常与外界接触,并经常与网络犯罪分子感染恶意软件的网站和应用程序进行交互。浏览器是功能强大、数据丰富的工具,如果遭到破坏,可以为黑客提供大量关于您的信息,包括您的个人地址、电话号码、信用卡数据、电子邮件、ID、密码、浏览历史、书签等。浏览器也是网络罪犯在您的设备、个人网络和业务系统上建立立足点的理想工具。浏览器依赖于许多第三方插件,例如JavaScript、Flash和ActiveX来执行各种任务。但是,这些插件通常带有安全漏洞,网络犯罪分子会利用这些漏洞来访问您的系统。这些漏洞允许黑客通过安装勒索软件、泄露数据和窃取知识产权等方式造成严重破坏。在过去一年左右的时间里,我们看到专门设计用于利用基于浏览器的漏洞的网络威胁急剧增加。这种流行度的增加不仅是因为浏览器是黑客的战略理想目标,还因为基于浏览器的Web威胁难以检测。大多数恶意软件检测和保护技术通过检查下载或附件等文件来发挥作用。然而,基于浏览器的威胁不一定使用文件,因此传统的安全控制不需要分析它们。除非组织实施不依赖于分析文件的高级工具,否则基于浏览器的威胁可能不会被发现。鉴于基于浏览器的威胁非常强大且难以发现,很容易看出它们为何变得如此突出。他们只是工作。基于浏览器的网络威胁是如何工作的该人的电子邮件结果。一旦建立连接,用户的浏览器就开始与站点交互。假设系统正在使用JavaScript,根据WebTechnologySurveys等研究公司的说法,94%的网站都启用了它,超过90%的浏览器都启用了它,浏览器将立即从恶意网站下载JavaScript文件并开始执行它。JavaScript可能包含恶意代码,这些代码能够捕获受害者的数据、更改它,并将新的或不同的数据注入到他们的Web应用程序中,所有这些都在后台进行,并且对用户不可见。例如,恶意软件作者用来实现此目的的一种方法是在JavaScript中嵌入混淆文件。Flash经常被使用是因为它看似永无止境的漏洞。以下是典型情况的代表:Flash代码调用PowerShell,这是一种功能强大的OS工具,可以执行管理操作,并且存在于每台Windows计算机上。Flash通过其命令行界面向PowerShell提供指令。PowerShell连接到黑客拥有的隐藏命令和控制服务器。命令和控制服务器将恶意PowerShell脚本下载到受害者的设备,该设备捕获或找到敏感数据并将其发回给黑客。黑客到达目标后,JavaScript、Flash和PowerShell脚本将从内存中删除,基本上不会留下任何入侵记录。对抗基于浏览器的Web威胁大多数恶意软件检测系统的工作原理是验证链接的信誉或安全性,并评估附件和下载等文件是否存在已知威胁。在这里描述的基于浏览器的威胁中,安全系统可能没有任何链接或文件可供分析,因此传统的反恶意软件技术通常是无效的。尽管如此,还是有一些方法可以抵御基于浏览器的威胁。即使没有文件,恶意软件检测技术也可以评估JavaScript和Flash数据。这些创新工具从设备内存中提取JavaScript和Flash内容,并检查静态和动态异常,例如:(1)静态-结构异常数组或字符串中的异常shellcode缺少或添加细分嵌入式文件可疑功能参数代码注入的证据,例如作为隐藏的iframe或不寻常的标记代码混淆的证据,例如编码,或特定的JavaScript函数,例如加密或指纹识别利用的证据-结构相似性,签名(2)动态-行为不当的异常进程行为-代码可能不会丢弃文件,但可能导致网络连接异常,或试图启动异常进程堆喷射-试图通过利用浏览器漏洞修改系统文件或组件,将代码插入到已知恶意站点或命令和控制中心的预定位置寻找每一个位置通过分析组织员工遇到的JavaScript和Flash内容的每一点来发现上面列出的异常现象,这是不切实际的。全面测试每个实例至少需要一定程度的行为分析,这可能需要60秒或更长时间。考虑到典型公司员工每天接触的JavaScript和Flash的数量,对所有员工进行全面的行为分析是不可行的。幸运的是,我们没有。过滤方法可以评估基于浏览器的威胁一个好的恶意软件检测引擎可以分阶段评估代码,而不是让每个JavaScript实例都经过完整的静态和动态分析。在初始阶段,引擎只进行静态分析,不需要执行代码。由于恶意软件检测系统可以实时执行此操作,因此可以在此级别评估所有JavaScript和Flash内容。在大多数情况下,成功通过此过滤器的代码将在正常操作期间执行,无需额外测试。如果恶意软件检测引擎在初始静态分析阶段遇到异常,它可以更仔细地检查代码。仅在极少数情况下才需要进行最严格和最耗时的测试,因为之前的所有测试都表明存在恶意软件的高风险。例如,静态分析可能会识别潜在的恶意功能,例如数据加密。可以加密数据的代码可能是勒索软件。在这种情况下,系统还会进行动态分析,以确定代码是否确实是恶意的,或者它是否以良性和适当的方式使用密码功能。静态分析可以有效地检测各种异常情况,例如不寻常的宏、丢失或添加的结构或段、与网络犯罪分子使用的命令和控制服务器的对应关系等等。其中一些功能非常恶意,以至于系统可以立即将对象评为高风险。如果有任何疑问,系统还会进行动态分析以测试代码在执行时实际上做了什么。如果静态分析没有发现可疑情况,则系统可以将对象高准确度评为低风险,并绕过动态分析。通过使用这种分阶段的方法,系统可以全面测试所有可疑对象,几乎可以消除误报。结合仅在必要时执行动态分析所获得的效率,测试所有JavaScript文件中的恶意软件变得可行。恶意软件在不断发展,我们也必须如此。网络罪犯总是试图寻找新的、更有效的方法来渗透我们的计算机、设备和网络。基于浏览器的网络威胁的最新发展是新恶意技术难以检测和有效的一个令人心酸的例子。企业往往容易受到这些新威胁的攻击,因为传统的反恶意软件产品几乎不可能有效地评估所有JavaScript和类似的基于浏览器的对象。为了有效地保护自己,组织还必须发展并不断升级他们的威胁防御工具,以跟上恶意软件的变化。一种方法是实施一种过滤方法,实时评估所有代码,并通过完全动态分析测试可疑代码。
