本文原作者是趋势的一个朋友,在征得他同意的基础上,拿来转载
|
Web安全innovation
由于最近参加了病毒和Web Threat的基础培训,对一些常规的恶意软件或者网页的原理和行为有了粗浅的认识。经过这次培训,心里有个想法就是:恶意软件和网页的作者是进攻者,安全厂商是被动防护者,而且一暗一明,攻守之势一直没有太大的改变,结果就是无尽的病毒,无穷的pattern,“无力”的防御。张总有言:策略是致胜的关键。我觉得我们安全厂商是不是应该在策略上作出些根本的改变呢?我冥思苦想,夜不能寐,心里隐隐约约形成了一个大致的想法,可能非常的幼稚,以致贻笑大方,也可能“英雄”所见略同,引君莞尔一笑。我是个行外人士,不过东坡居士有诗云:不识庐山真面目,只缘身在此山中。这就是说:外行真的有可能解决内行不能解决的问题,因为金锤子类的反模式会干扰人的创新能力。在此声明没有参考已有的解决方案,闲话少说,下面我就开门见山,直捣黄龙了。
我总的解决思路就是孔夫子的一句话稍微变一下:忽其言而察其行。就是说我先忽视你网页的“言”:源代码,而是重点观察你的行,给网页放肆执行的机会,然后详细的观察它造成的后果。
假设有个大型企业,里面有个用户想访问一个网页,企业本地IWSVA会到本地缓存查询,如果在黑名单里,马上拒绝,否则去趋势的云端查询,如果得知是不安全的,IWSVA马上拒绝。如果到这里还没有被拒绝, IWSVA会根绝用户的操作系统的类型从虚拟机或者就是实体机阵列中(因为有些病毒会监测是否为虚拟机,若安全等级要求高,则建议采取实体机)动态选取一个空闲的而且OS类型跟用户一样的机器,而且这些机器的OS没有安装任何的patch,安全策略选择最低,所有浏览器的安全等级也选择最低,没有安装任何AV,反正就是人见人欺的那种,而且一些系统本身的routine,prefetch能关的都给关掉。但是这些操作系统的内核是被修改过的,分为虚模式和实模式2种。虚模式状态下,文件或者注册表新增,修改,删除,读取看起来是正常返回的,但是其实会被导向到一个远端的文件系统(NAS,Hadoop等)的。具体操作如下:
● 新增: 远端文件系统上会新增文件或者注册表条目,而且记录创建发起的进程信息,时间戳。在本地文件和远端文件映射表中记录一个条目,映射表也存在远端。
● 修改:远端文件系统上会远端文件系统上会新增文件记录原文件或原注册表项,修改后的文件,修改发起的进程信息,时间戳
● 删除: 远端文件系统上的文件或者注册表项不会被真正删除,会记录删除标志,删除发起进程信息,时间戳
● 读取: 先查看映射表,如果读取的文件或注册表项在映射表中存在的并且没有删除标志,则读取远端的文件,如果读取的文件或注册表项在映射表中存在的并且如果读取的文件或注册表项在映射表中存在的并且有删除标志,则报告IO错误,否则读取本地文件或者注册表。
在实模式下,则上述操作都操作本地文件。
在简要描叙了模拟运行机器OS的2种模式后,下面轮到网页真正运行了。IWSVAI会根据用户的OS类型和Agent类型,选择一台模拟机并且打开相应的浏览器在虚模式下运行,所以这时候网页运行产生的结果都会在远端的文件系统中被记录。同时这台模拟机通过网关发送或者接受数据的记录也会被拦截记录。IWSVAI会通过RPC或者固定端口向模拟机请求进程信息和service信息,模拟机处理这些请求时是以实模式运行的。网页运行触发的行为类型:比如说下载PE文件,创建新进程,创建service,新增autorun项,发送本机系统信息等,每项行为都有加权分,加权分相加的总分越高,说明网页越危险。网页执行触发的行为分析模块会分析网页的行为,会计算出一个加权总分。根据加权总分,给出安全,可疑,危险,致命等警告等级,危险和致命的网页将直接拒绝用户访问,同时更新客户本地的黑名单cache并将可疑,危险,致命的网页URL以及模拟运行中生成文件和网络活动信息报告给云端。当然行为加权分会根据云端的统计数据会作出相应的调整。云端的Crawler会马上爬取这些恶意的网页,并结合客户端传送过来的模拟执行过程中产生的资料,工程师分析恶意代码的原理,找出系统漏洞并给OS厂商或者浏览器软件厂商patch建议。
当然恶意网页可能会在页面的script中故意推迟恶意行为,对于这种情况,如果页面加载完成后,浏览器的javascript引擎中还有活动或者挂起的javascript线程存在时,这时候SA模块就要对Script进行分析给出判定。
如果判定了一个网页是恶意网页,则先切断模拟机跟远端文件系统的连接,然后reboot系统。
主要的Concern:
性能:由于模拟机执行恶意网页后需要reboot这点比较影响效率,但是由于恶意网页会首先在本地cache和云端查询被过滤,恶意网页被任意客户仅模拟执行一次,整个趋势的用户都能得到防护。
流程图如下:
分享到:
相关推荐
什么是web2.0 主要特点 相关技术 Web 2.0特征 ...从Web 2.0到Innovation 2.0 技术 什么是web2.0 主要特点 相关技术 Web 2.0特征 Web 2.0七大原则 Web 2.0的设计模式 从Web 2.0到Innovation 2.0 技术
信息安全_数据安全_cxo-f02_securing-innovation-shif 硬件攻防 可信计算 安全验证 情报处理 系统安全
innovation management and new product development pdf
5G Security Innovation with Cisco Cisco_5G資安創新報告
在这本书中,作者将新理论和新研究成果整合到“自由创新范式”的框架中。 自由创新涉及消费者作为“免费商品”开发和赠送的创新,从而改善了社会
Surveys innovations in communications, covering mobile phones, WiFi, the Internet and World Wide Web, e-commerce, smartphones, social media, and GPS Presents coverage of topics on artificial ...
A Model for Business Innovation in the Web 2.0 World Chapter 6. Doing Business by Selling Free Services Chapter 7. Webstrategy Formulation: Benefiting from Web 2.0 Concepts to Deliver Business Values...
Innovation 智能合约题目合集(上) 自动化 安全实践 网络安全 云安全 安全建设
Statistics for Experimenters, Design, Innovation, and Discovery, Second Edition
Innovation Networks New Approaches in Modelling and Analyzing
中国要成为创新型国家,一个无法回避而且亟待解决的问题是,创新到底有没有方法?苏联的根里奇·阿齐舒勒及其研究同伴们通过对250万份专利的研究,在1946年就发现创新有法可依,这就是TRIZ。通过这个理论的学习和...
汤森路透,文本分析工具TDA介绍。
系统的介绍零售银行信息化的创新,新技术的应用
Co-creation_and_innovation_in_public_servicesCo-
很有意思的书,有关google的企业文化
process analysis and innovation
复杂程度 Internet 技术的迅猛发展和普及-网络应用 Internet Email Web 浏览 Intranet 电子商务 电子政务 电子交易 时间 2023/6/4 4 北京网新易尚科技有限公司 " YISHANG INNOVATION TECHNOLOGY CO.,LTD 网络安全PPT...
Innovation.m4r
tencent innovation contest title of test
ISO 56002:2019 Innovation management — Innovation management system — Guidance - 完整英文版(35页).zip