如何防御基于瀏覽器的網(wǎng)絡(luò)攻擊？

基于瀏覽器的網(wǎng)絡(luò)威脅已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全專業(yè)人士面臨的最大問題之一。對于組織來說，有效保護(hù)這些不可檢測的攻擊至關(guān)重要。

瀏覽器最暴露在所有使用的軟件中。他們不斷與外界聯(lián)系，經(jīng)常與網(wǎng)絡(luò)犯罪分子感染惡意軟件的網(wǎng)站和應(yīng)用程序互動。瀏覽器是一種功能強(qiáng)大、數(shù)據(jù)豐富的工具。如果受到攻擊，它可以為攻擊者提供大量關(guān)于您的信息，包括您的個人地址、電話號碼、信用卡數(shù)據(jù)和電子郵件，ID，瀏覽歷史記錄、書簽等密碼。

瀏覽器也是網(wǎng)絡(luò)犯罪分子在您的設(shè)備、個人網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中建立立足點(diǎn)的理想工具。瀏覽器依賴于許多第三方插件(如JavaScript，F(xiàn)lash和ActiveX)執(zhí)行各種任務(wù)。但這些插件通常都有安全漏洞，網(wǎng)絡(luò)犯罪分子利用這些漏洞來訪問您的系統(tǒng)。這些漏洞允許攻擊者通過安裝勒索軟件，泄露數(shù)據(jù)和竊取知識產(chǎn)權(quán)等方式造成嚴(yán)重破壞。

在過去的一年里，我們看到網(wǎng)絡(luò)威脅急劇增加，專門用于使用基于瀏覽器的漏洞。這種受歡迎程度的提高不僅是因?yàn)闉g覽器是戰(zhàn)略上理想的黑客攻擊目標(biāo)，而且因?yàn)楹茈y檢測到基于瀏覽器的目標(biāo)Web威脅。通過檢查下載或附件等文件，大多數(shù)惡意軟件檢測和保護(hù)技術(shù)都在工作。然而，基于瀏覽器的威脅不一定使用文件，因此不需要分析傳統(tǒng)的安全控制?；跒g覽器的攻擊可能不會被發(fā)現(xiàn)，除非組織實(shí)施不依賴于分析文件的高級工具。

鑒于基于瀏覽器的攻擊功能強(qiáng)大且難以發(fā)現(xiàn)，很容易理解為什么它們?nèi)绱送怀?。他們只是在工作?/p>

如何操作基于瀏覽器的網(wǎng)絡(luò)威脅？

作為基于瀏覽器的攻擊如何工作的示例，請考慮一個Windows用戶訪問似乎是良性的，但現(xiàn)在是惡意網(wǎng)站，這可能是他或她以前訪問過的網(wǎng)站，或者是誘人的電子郵件。一旦連接，用戶的瀏覽器就開始與網(wǎng)站互動。假設(shè)系統(tǒng)使用JavaScript，根據(jù)像WebTechnologySurveys94%的網(wǎng)站都有這樣的研究公司，90%以上的瀏覽器都啟用了。瀏覽器將立即從惡意網(wǎng)站下載并執(zhí)行JavaScript文件。

該JavaScript它可以包含惡意代碼，可以捕獲受害者的數(shù)據(jù)，改變它，并向它們注入新的或不同的數(shù)據(jù)Web所有的背景和應(yīng)用程序?qū)τ脩魜碚f都是看不見的。例如，惡意軟件作者實(shí)現(xiàn)這一目標(biāo)的一種方法是JavaScript混淆中嵌入AdobeFlash文件。Flash它經(jīng)常被使用，因?yàn)樗┒?，?jīng)常被使用。以下是典型情況的代表：

Flash代碼調(diào)用PowerShell，這是一個強(qiáng)大的功能OS管理操作可以存在于每個工具中Windows機(jī)器上。

Flash通過它的命令行界面PowerShell提供指令。

PowerShell連接到攻擊者擁有的隱藏命令和控制服務(wù)器。

惡意命令和控制服務(wù)器PowerShell將腳本下載到受害者的設(shè)備上，捕獲或搜索敏感數(shù)據(jù)并將其發(fā)送回攻擊者。

攻擊者達(dá)到目標(biāo)后，JavaScript，F(xiàn)lash和PowerShell腳本將從內(nèi)存中刪除，基本上沒有違規(guī)記錄。

打擊基于瀏覽器的網(wǎng)絡(luò)威脅

大多數(shù)惡意軟件檢測系統(tǒng)通過驗(yàn)證鏈接的聲譽(yù)或安全性以及評估已知威脅的附件和下載來工作。在這里描述的基于瀏覽器的攻擊中，安全系統(tǒng)可能沒有鏈接或文件進(jìn)行分析，因此傳統(tǒng)的反惡意軟件技術(shù)通常無效。盡管如此，還是有一些方法可以抵抗基于瀏覽器的攻擊。即使沒有文件，也可以評估最新和最先進(jìn)的惡意軟件檢測技術(shù)JavaScript和Flash數(shù)據(jù)。從設(shè)備的內(nèi)存中提取這些創(chuàng)新工具JavaScript和Flash檢查靜態(tài)和動態(tài)異常，如：

(1)靜態(tài)–結(jié)構(gòu)異常

(2)動態(tài)–行為異常

雖然通過分析組織員工遇到的每一點(diǎn)JavaScript和Flash當(dāng)然，上面列出的所有可能的異常都可以找到，但這是不現(xiàn)實(shí)的。對每個例子進(jìn)行全面測試至少需要60秒或更長時間的行為分析。鑒于典型公司的員工每天都會遇到大量的員工JavaScript和Flash，因此，全面分析所有員工的行為是不可行的。

基于瀏覽器的威脅可以評估過濾方法

良好的惡意軟件檢測引擎可以分階段評估代碼，而不是讓每個人JavaScript完整的靜態(tài)和動態(tài)分析實(shí)例。在初始階段，發(fā)動機(jī)只執(zhí)行靜態(tài)分析，不需要執(zhí)行代碼。因?yàn)閻阂廛浖z測系統(tǒng)可以實(shí)時執(zhí)行此操作，所以所有這些操作都可以在這個級別進(jìn)行評估JavaScript和Flash內(nèi)容。該過濾器的大部分代碼將在正常運(yùn)行期間成功通過，無需進(jìn)行其他測試。

惡意軟件檢測引擎在初始靜態(tài)分析階段遇到異常時，可以更密切地檢查代碼。最嚴(yán)格和耗時的測試只需要在以前所有測試都表明存在大量惡意軟件風(fēng)險的罕見情況下進(jìn)行。例如，靜態(tài)分析可能會識別惡意功能，如數(shù)據(jù)加密?？梢约用軘?shù)據(jù)的代碼可能是勒索軟件。在這種情況下，系統(tǒng)還將進(jìn)行動態(tài)分析，以確定代碼是否真的是惡意的，或以良性和適當(dāng)?shù)姆绞绞褂眉用芄δ堋?/p>

靜態(tài)分析可以有效地檢測各種異常，如異常宏、丟失或添加的結(jié)構(gòu)或部分、與網(wǎng)絡(luò)犯罪分子使用的命令和控制服務(wù)器相對應(yīng)等。其中一些功能非常惡意，系統(tǒng)可以立即將對象評為高風(fēng)險。如果有任何問題，系統(tǒng)還將執(zhí)行動態(tài)分析來測試代碼執(zhí)行時的實(shí)際操作。

如果靜態(tài)分析沒有發(fā)現(xiàn)任何可疑之處，系統(tǒng)可以將對象高精度評分為低風(fēng)險，繞過動態(tài)分析。

通過使用這種分階段的方法，系統(tǒng)可以完全測試所有可疑對象，從根本上消除誤報。結(jié)合動態(tài)分析在必要時獲得的效率，測試所有效率JavaScript和Flash惡意軟件是否存在文件變得可行。

惡意軟件不斷發(fā)展，我們必須這樣做

網(wǎng)絡(luò)犯罪分子一直在努力尋找一種新的、更有效的方法來滲透我們的計(jì)算機(jī)、設(shè)備和網(wǎng)絡(luò)?；跒g覽器的網(wǎng)絡(luò)威脅最近的演變是一個難以檢測和有效的惡意新技術(shù)的尖銳例子。

幾乎不可能有效地評估所有傳統(tǒng)的反惡意軟件產(chǎn)品JavaScript與基于瀏覽器的對象相似，企業(yè)通常容易受到這些新威脅的攻擊。為了有效地保護(hù)自己，組織還必須不斷開發(fā)和升級其威脅防御工具，以應(yīng)對惡意軟件的最新變化。一種方法是實(shí)現(xiàn)過濾方法，實(shí)時評估所有代碼，并使用完整的動態(tài)分析來測試可疑代碼。

騰佑科技推薦應(yīng)對網(wǎng)絡(luò)攻擊Web防火墻(云WAF），基于AI一站式發(fā)動機(jī)Web業(yè)務(wù)運(yùn)營風(fēng)險防護(hù)方案幫助用戶應(yīng)對網(wǎng)站入侵、漏洞利用、掛馬、篡改、后門、爬蟲Bot，域名劫持等安全問題組織網(wǎng)站和Web保駕護(hù)航業(yè)務(wù)安全運(yùn)行。詳見騰佑科技客服400-996-8756。