1、一種在瀏覽器端偵測並阻擋網頁惡意程式的解決方案 A BROWSER-SIDE SOLUTION TO DRIVE-BY-DOWNLOAD-BASED MALICIOUS WEB PAGES,左昌國 陳世仁 許富皓 國立中央大學資訊工程學系先進防禦實驗室 資訊安全通訊卷期,指導教授:葉禾田教授報告人:李冠毅M99F0206,前言,根據X-Force 在2008 年的年度研究報告指出1,在所有的弱點類型當中,有超過54%的弱點數量與網站應用程式有關。資料隱碼攻擊 (SQL injection)(在網站應用程式弱點分類當中將近40%)已經取代了跨站腳本攻擊(Cross-Site Scripting)
2、成為2008 年最嚴重的網站威脅。,前言,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,DRIVE-BY DOWNLOADS,攻擊者先利用正常網頁伺服器的漏洞進行攻擊(如資料隱碼攻擊)來取得伺服器或是修改網頁的權限。 在伺服器上的網頁加入一小段HTML 程式碼,這段程式碼會讓訪客的瀏覽器自行去攻擊者的伺服器下載含有攻擊程式碼與遠端執行程式碼的網頁或是腳本檔案。,圖:攻擊者插入正常網頁的轉向HTML原始碼範例,DRIVE-BY DOWNLOADS,遠端執行程式碼會去攻擊者的其他網站下載惡意程式回來,並且執行惡意程式。為了確保惡意程式的隱性,通常會先下載的惡意程式會是
3、木馬下載器(Trojan Downloader)。 一旦成功執行木馬下載器,遠端執行程式會嘗試去回復原本瀏覽的網頁,並且結束遠端執行程式碼。而執行成功的木馬下載器則會去其他地方下載惡意程式(如隱程式等)。,INTERNET EXPLORER的一般執行流程,應用程式介面(API),Internet Explorer 在瀏覽網頁的時候,是把網頁上的所有元件,包含網頁原始碼、腳本文件、層疊樣式表(Cascading Style Sheets,簡稱CSS)、以及多媒體檔案等等,都先下載到本地端,再分別去解譯或是執行。而使用者主動下載的檔案也是透過這個分類去達成。,一般檔案下載流程,使用者透過滑鼠右鍵c
4、ontext menu 主動下載檔案流程,一般執行檔案的流程,瀏覽網頁事件,Internet Explorer 為了提供使用者更多的功能,開發出一些介面(Interface)讓程式開發者可以用來在瀏覽器上製作一些新的功能。 其中,DwebBrowserEvents2 這個介面提供了使用C 與C+語言的程式設計師能夠在瀏覽器控制(WebBrowser Control)上,取得一些事件的通知(Notification)。例如透過BeforeNavigate2 這個成員,程式可以取得即將有一個物件要被瀏覽這個事件。,INTERNET EXPLORER的一般執行流程,系統設計,Internet Exp
5、lorer 可以讓第三方程式開發者設計一些新的功能讓瀏覽器的使用者更方便,Browser Help Objects(以下簡稱BHO)就是一種被用來達成此一目標的模組。 因為Internet Explorer 一開起馬上就會載入BHO,一直到結束才會卸載,而且BHO存在於Internet Explorer 的程序裡,可以輕易的存取到Internet Explorer 的記憶體及資料,因此本研究的解決方案是建構在BHO 上。,系統設計,系統設計,Internet Explorer 部分如前面介紹。 Blacklist Server,是為了用來保護及保存黑名單(即前面提到的特徵值)。 因有兩個程式同
6、時工作,需要一套程序間互相溝通(Inter-process Communication,IPC)的機制。 Windows 提供了一套IPC 機制,叫做Pipe。本研究採用了其中一種Pipe Named Pipes。,系統設計,系統設計,BeforeNavigate2 以及DoFileDownload 都有URL 資訊,當攔截到這兩個事件(或API)時,直接把URL 加進白名單(WhiteList)裡。 等到真正在下載的時候,攔截InternetReadFile API 並且經由之前所取得的URL 資訊查詢白名單(WhiteList): 若是正常檔案(即原白名單內有資料)則加入另一個白名單(包含
7、雜湊資訊)。 反之則加入黑名單(BlackList)。 某些惡意的情況下,會直接執行WriteFile,因此也必須攔截WriteFile 並查詢之前在InternetReadFile 的時候是否有加入白名單(包含雜湊資訊)內,若是沒有則是為惡意行為,並加入黑名單。,系統設計,執行階段只需要攔截CreateProcessInternal 這個API,因為 CreateProcess API 必定會呼叫上敘API,因此只需要攔截CreateProcessInternal 就可以保證攔截所有的執行行為。,結論,對於Drive-by Downloads近期的防禦方法都偏重在網頁信用評等方式,雖然有效,但是無法抵禦零時差攻擊以及針對性的攻擊。 本研究著重在網頁形態漏洞攻擊當中必經的道路,下載惡意程式並執行這些行動。若是能阻擋惡意程式的執行,就能夠把傷害降到最低。 本研究詳細分類瀏覽網頁以及下載程式的各種情況,並利用攔截技術檔下惡意程式的執行。雖然未來還有很多進步的空間,但是以目前的效果來說已經能夠阻擋大部分的零時差攻擊。,感想,黑名單資料庫需要訓練,不然無法判別所取得的特徵值是否為惡意程式所有。蠕蟲、木馬等惡意程式變種快速,反之黑名單資料庫訓練或更新速度不見得比目前市面常見的網頁攻擊保護軟體來的迅速,阻擋零時差攻擊的效果有待商確。,
