一种在浏览器端测并阻挡网页恶意程式的解决方案A.pptVIP

一種在瀏覽器端偵測並阻擋網頁惡意程式的解決方案A BROWSER-SIDE SOLUTION TO DRIVE-BY-DOWNLOAD-BASED MALICIOUS WEB PAGES 左昌國　陳世仁　許富皓 國立中央大學資訊工程學系先進防禦實驗室 資訊安全通訊１５卷４期 指導教授：葉禾田教授 　報告人：李冠毅 　　　　　M99F0206 前言 根據X-Force 在2008 年的年度研究報告指出[1]，在所有的弱點類型當中，有超過54%的弱點數量與網站應用程式有關。 資料隱碼攻擊 (SQL injection)(在網站應用程式弱點分類當中將近40%)已經取代了跨站腳本攻擊(Cross-Site Scripting)成為2008 年最嚴重的網站威脅。 前言 跨站腳本攻擊 通常用來取得受害者對於某個網站的cookie 並且利用這個cookie 來偷走受害者的帳號。 資料隱碼攻擊 能夠讓攻擊者在所有瀏覽該伺服器的訪客電腦中遠端執行惡意程式碼，取得受害者電腦的權限並且下載執行惡意程式。 DRIVE-BY DOWNLOADS DRIVE-BY DOWNLOADS DRIVE-BY DOWNLOADS 攻擊者先利用正常網頁伺服器的漏洞進行攻擊(如資料隱碼攻擊)來取得伺服器或是修改網頁的權限。 在伺服器上的網頁加入一小段HTML 程式碼，這段程式碼會讓訪客的瀏覽器自行去攻擊者的伺服器下載含有攻擊程式碼與遠端執行程式碼的網頁或是腳本檔案。 圖：攻擊者插入正常網頁的轉向HTML原始碼範例 DRIVE-BY DOWNLOADS 遠端執行程式碼會去攻擊者的其他網站下載惡意程式回來，並且執行惡意程式。為了確保惡意程式的隱匿性，通常會先下載的惡意程式會是木馬下載器(Trojan Downloader)。 一旦成功執行木馬下載器，遠端執行程式會嘗試去回復原本瀏覽的網頁，並且結束遠端執行程式碼。而執行成功的木馬下載器則會去其他地方下載惡意程式(如隱匿程式等)。 INTERNET EXPLORER的一般執行流程 應用程式介面(API) Internet Explorer 在瀏覽網頁的時候，是把網頁上的所有元件，包含網頁原始碼、腳本文件、層疊樣式表(Cascading Style Sheets，簡稱CSS)、以及多媒體檔案等等，都先下載到本地端，再分別去解譯或是執行。而使用者主動下載的檔案也是透過這個分類去達成。 一般檔案下載流程 使用者透過滑鼠右鍵CONTEXT MENU 主動下載檔案流程 一般執行檔案的流程 瀏覽網頁事件 Internet Explorer 為了提供使用者更多的功能，開發出一些介面(Interface)讓程式開發者可以用來在瀏覽器上製作一些新的功能。 其中，DwebBrowserEvents2 這個介面提供了使用C 與C++語言的程式設計師能夠在瀏覽器控制(WebBrowser Control)上，取得一些事件的通知(Notification)。例如透過BeforeNavigate2 這個成員，程式可以取得即將有一個物件要被瀏覽這個事件。 INTERNET EXPLORER的一般執行流程 系統設計 Internet Explorer 可以讓第三方程式開發者設計一些新的功能讓瀏覽器的使用者更方便，Browser Help Objects(以下簡稱BHO)就是一種被用來達成此一目標的模組。 因為Internet Explorer 一開起馬上就會載入BHO，一直到結束才會卸載，而且BHO存在於Internet Explorer 的程序裡，可以輕易的存取到Internet Explorer 的記憶體及資料，因此本研究的解決方案是建構在BHO 上。 系統設計 系統設計 Internet Explorer 部分如前面介紹。 Blacklist Server，是為了用來保護及保存黑名單(即前面提到的特徵值)。 因有兩個程式同時工作，需要一套程序間互相溝通(Inter-process Communication，IPC)的機制。 Windows 提供了一套IPC 機制，叫做Pipe。本研究採用了其中一種Pipe — Named Pipes。 系統設計 系統設計 BeforeNavigate2 以及DoFileDownload 都有URL 資訊，當攔截到這兩個事件(或API)時，直接把URL 加進白名單(WhiteList)裡。 等到真正在下載的時候，攔截InternetReadFile API 並且經由之前所取得的URL 資訊查詢白名單(WhiteList)： 若是正常檔案(即原白名單內有資料)則加入另一個白名單(包含雜湊資訊)。 反之則加入黑名單(BlackList)。 某些惡意的情況下，會直接執行WriteFile，因此也必須攔截Write