自动下载行为检测.docVIP

自动下载行为检测 　　摘要：目前，很多恶意网页仅利用常规的Web编程技术使得浏览器自动下载木马等恶意软件并诱骗用户执行。这种恶意行为被称为自动下载。浏览器中现有的防御机制并不能有效地识别这种攻击。针对此类恶意行为，提出了一种防御方法。该方法通过监控网页中能导致自动下载的操作，并在下载实际发生时判断是否由用户触发，来识别自动下载行为并加以阻断。此防御方法已经在WebKitGtk+2.8.0和Chromium 38.0.2113.1两个浏览器中实现，并进行了评估：两个检测防御系统针对现存的攻击样本均无误报和漏报，额外的性能开销分别为1.26%和7.79%。实验结果表明，该方法能够有效地监测并阻断自动下载攻击且性能开销较小。 　　关键词： 　　恶意网页；恶意软件；自动下载检测；用户交互 　　中图分类号： TP309.5 文献标志码：A 　　0引言 　　目前，很多恶意网页都存在将攻击者的木马自动下载到用户主机的行为，并在下载后诱骗用户执行攻击者的木马。本文将这种攻击称为自动下载。在2014年12月至2015年3月收集到的68296条恶意网页攻击记录中，有58425条攻击记录包含自动下载行为，占所有攻击记录的85.55%。 　　与DrivebyDownload[1]攻击相比，自动下载型攻击虽然不能在恶意软件下载后自动运行，但是攻击页面通常会诱骗用户，让用户相信下载下来的恶意软件是用户需要的、正常的软件或插件，诱使用户执行。 　　例如，图1是一个包含自动下载行为的恶意网页，在网页打开后3s，会自动下载一个名为“microsoft xps document writer__3039_i1755271595_il358621.exe”的文件。用户根据如图1网页中所给的信息以为自己下载的是一个虚拟打印程序；但实际上，这是一个恶意应用。用户点击运行这个程序的时候，并不能像用户期望的那样安装虚拟打印机，而是在用户的主机上运行了一个木马程序，让用户主机成为攻击者僵尸网络中的一台“肉机”。 　　此类攻击并没有利用任何浏览器漏洞，仅利用浏览器的正常机制和现有的Web技术就能够将攻击者的木马下载到用户本地，并诱使用户执行。尽管并非所有的用户都会运行自动下载的恶意应用；但是其广泛撒网的方式，仍然使攻击者能够获得大量的“肉机”。 　　自动下载为用户的计算机安全带来了很大的威胁；但是，浏览器现有的安全机制并不足以抵御自动下载攻击。 　　主流浏览器对恶意网页的防御方法是黑名单机制。以Chrome浏览器为例，其在加载网页前，先检测此网址是否在预设的黑名单中。如果在，则认为其是恶意网页；否则认为其是正常网页。这种黑名单机制实现简单、效率高，对用户体验的影响非常低；但是，利用黑名单机制来检测网页自动下载行为并不完全有效。黑名单列表需要及时更新来保证结果的准确性。对于新出现的未知恶意网页这种方法存在可被攻击者利用的时延窗口。 　　浏览器的反弹窗机制也对自动下载有一定的拦截效果；但遗憾的是，这种防御机制只能拦截利用自动弹窗触发的下载，并不能拦截所有的自动下载方式。 　　当前的安全工具对于此类攻击的检测，通常是在下载完成后，通过扫描文件是否包含恶意程序的特征码来判断下载文件是否是恶意软件，并不能在事前就阻止自动下载的发生。而且，这种方法对于未知木马的检测往往无能为力。 　　在恶意网页研究领域，目前也没有研究者专门对此类利用浏览器正常机制和Web技术来将木马在未经用户同意的情况下自动下载到用户主机上的行为进行研究。 　　为此，本文提出了一种检测方法，以应对网页中的自动下载行为。 　　自动下载的关键特征在于不经用户交互就触发下载操作。通过在浏览器中加入相应的检测模块，基于浏览器的用户交互机制判断下载操作或导致下载的方法是否由用户触发，从而判断该下载行为是否是自动下载。本文在WebKitGtk+2.8.0和Chromium 38.0.2113.1中实现了相应的原型系统。实验证明本文提出的方法可以有效识别出自动下载，针对现存的攻击样本无误报和漏报，额外的性能开销分别为1.26%和7.79%，完全在可接受范围内。 　　本文的主要工作如下：1）系统地界定了目前浏览器中可被利用的自动下载方式；2）提出了一种针对性的基于用户交互判断的自动下载检测方法；3）在WebKitGtk+2.8.0和Chromium 38.0.2113.1浏览器中实现了对自动下载行为的检测与拦截，验证了此方法的有效性。 　　1相关工作 　　自动下载行为是恶意网页的攻击方式之一。本章从基于行为、基于统计或机器学习以及其他三个方面介绍相关的恶意网页检测工作，并分别分析用这些方法检测自动下载行为的可行性。 　　1.1基于行为的检测 　　基于行为的检测方法主要是客户端蜜罐：建立