PPT《——网马下载拦截与恶意网址获取》

――网马下载拦截与恶意网址获取 目录 传统的解决方案原理和优缺点 我们的思考 智能脚本监控技术介绍 智能脚本监控技术的优缺点

5 2

3 4 智能脚本监控技术的应用

6 网马入侵拦截问题分析

1 我们的问题和目标 网马泛滥 解决问题的目标 95%以上的用户机器感染病毒是通过网马感染的游戏、色情、小说、热点论坛是被挂马的重灾区不仅只有浏览网站会中毒.

1、阻止网马感染用户机器,保证用户安全

2、获取网马传播相关信息

3、根据信息快速获取木马样本,及时处理 网马入侵问题分析 网马入侵途径分析 网马和网页脚本的关系 挂马脚本的特点 网马入侵途径分析 通过脚本构造溢出攻击代码,利用溢出代码下载和运行网马 通过脚本调用组件漏洞,下载和运行网马 直接在网页中插入带有漏洞的媒体文件如WMF 、CUR、SWF文件,利用媒体文件的漏洞下载和执行木马. 网马和网页脚本的关系 利用网页脚本进行木马下载和执行是目前网马的主要感染方式,超过90%网马是通过网页脚本实现的 挂马页面的特点 直接挂马、框架挂马、ARP欺骗挂马 挂马页面主要网马生成器自动生成 挂马页面往往针对多个漏洞,采用智能挂马方式 页面加密和脚本加密是网马逃避特征码查杀的主要方式 挂马页面特点 加密前的网页脚本 加密后的网页脚本 传统的网马传播阻止方式 恶意网址拦截 网页脚本杀毒 文件监控 运行前拦截 运行时拦截 网页脚本监控 主动防御 问题思考 解决脚本问题是关键 来自于主动防御的启发

1、90%网马感染用户机器利用到了脚本

2、处理网马脚本可以解决网马问题

3、脚本的加密、变形导致问题变得复杂

4、虚拟执行判定? 主动防御的基础是拦截程序行为通过行为特征来判定恶意代码是主动防御的基本思想如果能够拦截脚本行为…….. 智能脚本监控技术介绍 Windows脚本运行模型脚本监控系统架构 -溢出攻击防御-恶意行为判定-智能启发监控扫描 智能脚本监控原理 网马脚本判定方法 Windows脚本执行架构 脚本宿主 脚本引擎

1、创建脚本引擎

2、提供脚本引擎运行环境

3、传送脚本给脚本引擎执行

4、接受和响应脚本引擎产生的事件和系统调用

1、解释执行脚本

2、通知脚本宿主脚本执行状态

3、和脚本宿主通讯获取对象

4、通过从脚本宿主获取的对象完成系统相关功能调用 脚本系统监控模型 脚本宿主 脚本代理引擎 脚本引擎 脚本代理引擎拦截脚本宿主与脚本引擎的通讯和交互,通过脚本代理我们可以获取脚本引擎对系统函数的调用和执行结果回调. 行为分析与判定 事件、系统调用 脚本函数拦截模型 创建脚本引擎 获取脚本引擎内部函数Com对象 替换为代理提供的Com对象 脚本代理进行函数监控挂接示意图 代理提供的COM对象 脚本引擎 原始的COM对象 执行前后行为检查 挂接后的函数执行流程 脚本监控主要判定技术 溢出攻击防御技术 恶意行为监控技术 智能启发监控扫描技术 脚本监控主要判定技术 溢出攻击防御技术 拦截脚本执行函数的执行参数,进行溢出攻击代码检查,如果发现溢出代码,则阻止函数继续执行.因为溢出攻击的代码主要是利用异常的函数执行参数来导致程序溢出,执行恶意代码,所以对于溢出只要能够检查函数执行参数从技术上讲非常容易. 溢出攻击防御原理 优点: 缺点: 准确,能够在漏洞执行前发现已知的所有的溢出攻击 对系统速度影响比较大 恶意行为监控 拦截脚本执行时调用组件对象的功能,在该功能执行前检查已经存在的行为序列,根据预设的专家经验行为规则判脚本行为是否会对系统带来危害,如果判定为恶意则阻止执行,如果正常则继续执行脚本. 监控原理 优点: 缺点: 不依赖具体的特征串,无法采用传统的代码变形、加密方式躲过检测、速度快对系统几乎没有影响. 可能存在误报 智能启发监控扫描 90%以上的网马脚本都带有加密和变形的特点,单纯的特征码无法进行处理,而脚本执行时脚本引擎会对这些加密和变形的内容进行还原,而不同的漏洞的都有自己的广谱特征,利用广谱特征对解密后的脚本代码进行查杀可以很好的阻止恶意代码的执行和传播. 检查原理 优点: 缺点: 准确,查杀率高. 对系统速度影响较大 智能网页脚本监控优缺点 基于行为监控,可以对付变形、加密网马 不依赖于网址和脚本特征支持所有基于IE内核的浏览器 脚本执行时会增加9%左右的额外开销对文件型挂马无法处理 优点 缺点 智能脚本监控技术的应用 阻止网马下载 网络威胁探针 应用于云安全 应用于其他系统 阻止网马脚本运行,将未知网马威胁阻止在用户系统之外. 在用户允许情况下,捕获未知的恶意网址. 利用获取的网址建立自动获取分析木马样本系统 将捕获的网址应用于防毒墙,防火墙 Q&A谢谢大家!THANK YOU!