BLADE: Megállíthatja a meghajtó által okozott rosszindulatú programokat?

Jelenleg rengeteg olyan webhely található, amely sikeresen kiszolgálja a rosszindulatú programokat a gyanútlan látogatók számára. Van gyógymód? Egyes kutatók úgy gondolják.

-------------------------------------------------- -----------------------------------

A BLADE ( BL ock A DL szűrés által letöltött E xploits), a Georgia Technológiai Intézet Számítástechnikai Főiskola és az SRI International kutatóinak agyalapja, hogy segítsen megakadályozni a meghajtó által okozott rosszindulatú szoftverek árapályát. A Dasient.com szerint nagy ügy, a cég több mint 200 ezer különféle webes malware-fenyegetést követ fel.

Mi az drive-by malware?

Az ilyen típusú rosszindulatú programokról már írtam. A csoport kutatómunkája: BLADE: Attack-Agnostic Approach for Pre-By Malware fertőzések megelőzésére (pdf) rámutatott valami olyanra, amiben nem tudtam:

"A drive-by exploit célja az ügyfél webböngészőjének hatékony, átmeneti ellenőrzése azért, hogy kényszerítsük a bináris alkalmazás letöltésére, tárolására és végrehajtására (pl. .Exe, .dll, .msi, .sys) anélkül, hogy felfednék az emberi felhasználónak, hogy ezek a tevékenységek megtörténtek. "

Úgy tűnt, hogy az a meghajtó által okozott rosszindulatú program, amely egy ideiglenes csatorna, amellyel a számítógépre betölti a kívánt rosszindulatú szoftvert, számomra új volt. Nézzük meg, hogy a kutatók hiszik, hogy a folyamat működik.

A folyamat

Az egész akkor kezdődik, amikor egy szerencsétlen áldozat megbotlik egy veszélyeztetett hivatalos webhelyre, vagy esetleg egy olyan hivatalos webhely leütésével, amely meghajtó-rosszindulatú programokat szolgál fel. Ezután megkezdődik a kódbeviteli folyamat, amely a következő három szakaszból áll:

  • Héjakód-befecskendezési fázis : A böngésző felborításához szánt kódot a böngésző sebezhető elemének kihasználásával töltik le.
  • Héjakód-végrehajtási szakasz : A letöltött kódot ezután befecskendezik a böngésző folyamatába.
  • Rejtett bináris telepítési szakasz : A most már sérült webböngésző rosszindulatú programokat próbál lekérdezni a támadó webszerveréről. Ez a kód települ az áldozat számítógépére, és megsérti az összes károkat, amiről hallunk.

A kutatók azt is megállapították, hogy az drive-by malware valamilyen módon elkerüli a felhasználói engedély szükségességét a nem támogatott fájltípusok, például .exe, .dll és .sys letöltéséhez és végrehajtásához. Ezen információkkal a kutatócsoport fejlesztette ki a BLADE-t.

A BLADE tervezési kritériumai

BLADE egy böngészőtől független operációs rendszermag-kiterjesztést, amely az illetéktelen tartalom végrehajtásának megakadályozására szolgál. Értelmezem azt, hogy a BLADE elfogja az összes letöltött tartalmat, amelyet a felhasználó nem engedett el, és megakadályozza annak végrehajtását.

Ennek megvalósítása érdekében a kutatócsoport a következőket hajtotta végre a BLADE-ban:

  • Valós idejű felhasználói engedélyek rögzítése és értelmezése : A BLADE megfelelő működésének kulcsa, a felhasználó és a böngésző közötti interakció figyelése figyelhető meg a letöltést engedélyező felhasználóval kapcsolatos információk gyűjtése érdekében.
  • Robusztus összefüggés az engedélyezési és a letöltési tartalom között : A BLADE-nek képesnek kell lennie megkülönböztetni a felhasználó által kezdeményezett webböngésző és a jogosulatlan letöltéseket.
  • A végrehajtás megakadályozásának szigorú végrehajtása : Nem engedélyezettek a tartalom végrehajtása.
  • Böngésző agnosztikai végrehajtása : A BLADE nem támaszkodhat a webböngésző működésére. Ez kritikus fontosságú, mivel az új böngésző technológiát folyamatosan bevezetik.
  • A kizsákmányolás és az adócsalás függetlensége : A BLADE-nek függetlennek kell lennie minden támadástól, amelyet a támadók a webböngésző felborításához használnak.
  • Hatékony és használható rendszerteljesítmény : A webböngésző teljesítményét nem szabad veszélyeztetni, és semmilyen késedelem nem megengedett. Valójában a BLADE-nek nem lehet érzékelhető hatása semmilyen számítógép működésére.

Hogyan működik a BLADE?

A kéretlen letöltési kísérletek észlelése érdekében a BLADE a következő folyamatokat helyezi a kerneltérbe,

  • Felhasználói interakciók nyomon követése : A BLADE képernyő elemzőt, hardver esemény nyomkövetőt és egy felügyeletet használ a felhasználó fizikai interakcióinak nyomon követésére a webböngészővel, különösen akkor, ha a letöltési engedélyt kérik.
  • Engedélyezési korreláció : Ezt a folyamatot a BLADE megköveteli az átlátható letöltések és a felhasználói engedélyt igénylő letöltések megkülönböztetése érdekében.
  • Lemez I / O átirányítás : Amikor a BLADE nem engedélyezett letöltéseket talál, akkor a kódot egy biztonságos zónára irányítja. Az adatok azt is megakadályozzák, hogy végrehajtható formátumban töltsék be a memóriába.

A következő dia (a kutatócsoport hozzájárulásával) a BLADE rendszer-architektúráját ábrázolja.

A legfontosabb összetevő, amely a BLADE működését lehetővé teszi, az a képessége, hogy felismerje, hogy a letöltés engedélyezett-e vagy sem. Hogy ez történik, egy másik tényen alapszik, amelyet nem tudtam a böngészőkről.

A kutatócsoport azt találta, hogy a böngészők egy jól meghatározott eljárást használnak a letöltési megerősítések végrehajtására. Ez azt jelenti, hogy egy olyan alkalmazáshoz, mint a BLADE, amely kifejezetten letöltési engedélyeket keres, csak néhány példára lenne szüksége a különféle böngészőkből a legtöbb letöltési engedélyezési kísérlet felismerése érdekében.

Az alábbi dia (a kutatócsoport hozzájárulásával) ismerteti, hogy a BLADE hogyan ellenőrzi az engedélyt:

Az egyes összetevők alapos elemzéséhez kérjük, olvassa el a kutatócsoport anyagát.

Mennyire hatékony a BLADE?

A BLADE-t valós körülmények között tesztelték, ahogy az alábbi idézet magyarázza:

"A tesztágy napi rendszerességgel automatikusan összegyűjti a rosszindulatú programok URL-eit több fehérhatású forrásból, és kiértékeli a BLADE-t az elmúlt 48 órában jelentett potenciális meghajtó-URL-ek alapján. A BLADE böngészőjének validálásához és a függetlenség kihasználásához minden URL-t több szoftverkonfigurációval szemben tesztelünk. különböző böngésző verziók és általános plug-inek. A rendszerhívást és a hálózati nyomkövetést kihagyott támadások (hamis negatívok) tesztelésére használják. "

A kutatócsoportnak van egy weboldala, amely tartalmazza az értékelés eredményeit. Érdekes módon úgy tűnik, hogy adatai igazolják, amit más biztonsági szakértők mondtak az Adobe termékekről:

A kutatási cikk szerint csaknem 19 000 vizsgálatot hajtottak végre nulla hamis pozitív és nulla hamis negatívral. Ez azt jelenti, hogy a BLADE minden esetben megakadályozta a vadon futó rosszindulatú programok telepítését.

Nem minden gyógymód

A BLADE célja a meghajtó által okozott rosszindulatú programok blokkolása, amelyek megpróbálnak írni a merevlemezre. Jelenleg ez működik, mivel a meghajtót okozó rosszindulatú szoftverek nagy része ezt a megközelítést használja. A biztonsági szakértők azonban tisztában vannak bizonyos fenyegetésekkel, amelyek csak a memóriában rejlenek, és a BLADE nem ismeri fel őket.

Aztán van olyan rosszindulatú program, amely telepíthető a szociális mérnöki eszközök felhasználásával. A BLADE nem jelent segítséget, mivel a felhasználó szívesen vállalja a letöltést.

Végül, a fejlesztők aggodalmuknak adtak hangot amiatt, hogy a BLADE tönkretehet olyan legitim alkalmazásokat, mint a Windows Update, amelyek a háttérben letöltik a szoftvert.

Végső gondolatok

A kutatócsoport munkája ismét rámutat arra, mennyire fontos az operációs rendszer és az összes alkalmazás (különösen az Adobe termékek) naprakészen tartása. Sérülékenységek nélkül a meghajtó által futtatott rosszindulatú programok nem szerezhetnek lábát.

Rámutattam arra, hogy a BLADE nem fog minden problémát megoldani, de ígéretében áll, hogy jó eszköz a biztonsági arzenálunkban. Ha érdekli, látogasson el újra a BLADE-Defender.org webhelyre, mivel a BLADE V1.0 (egy ingyenes kutatási prototípus) hamarosan elérhető lesz.

© Copyright 2021 | mobilegn.com