互联网企业应对恶意网站的思考
DESCRIPTION
互联网企业应对恶意网站的思考. 安全中心 applelin. 目录. 形势概述与 危害分析 问题与难点分析 互联网企业如何应对恶意网站 腾讯产品安全现状与规划. 形势概述与危害分析. 0.02% 7997696 35% …. 形势概述与危害分析. 利益驱动,恶意软件专业化,集团化 通过第三方挂马,间接挂马方式流行 第三方软件漏洞大量利用, 0day 频出,防不胜防 针对诈骗问题,互联网企业很难独善其身. 形势概述与危害分析. 木马下载器大量传播,危害游戏产业帐号体系 催生僵尸网络, DDOS 攻击流行 通过肉鸡进行点击欺诈,危害广告、搜索产业 - PowerPoint PPT PresentationTRANSCRIPT
互联网企业应对恶意网站的思考
安全中心 applelin
目录
形势概述与危害分析
问题与难点分析
互联网企业如何应对恶意网站
腾讯产品安全现状与规划
0.02%
7997696
35%
…
形势概述与危害分析
形势概述与危害分析
利益驱动,恶意软件专业化,集团化
通过第三方挂马,间接挂马方式流行
第三方软件漏洞大量利用, 0day 频出,防不胜防
针对诈骗问题,互联网企业很难独善其身
形势概述与危害分析
木马下载器大量传播,危害游戏产业帐号体系
催生僵尸网络, DDOS 攻击流行
通过肉鸡进行点击欺诈,危害广告、搜索产业
诈骗带来大量投诉,运营成本高,企业信誉受损
电子商务,银行用户受损较大,用户流失
问题与难点分析
挂马网站危害用户过程分析 :
问题与难点分析
不同时期打击成本金字塔 :
互联网企业如何应对恶意网站
搜索Google, Yahoo 搜索结果加入恶意评价 Google Safe Browsing API 提供恶意库
浏览器IE、 firefox 等添加恶意检查特性安全浏览器: sandboxie 、 360 安全浏览器
安全厂商杀毒客服端,云安全IE 插件,过滤防火墙评价体系 McAfee SiteAdvisor
互联网企业如何应对恶意网站
互联网公司需要面对的挂马威胁策略:办公网:不受渗透威胁
建立认证 web 访问控制建立出口 exe 下载, url 访问审计日志
产品:不挂马传播渠道,保护帐号体系建立统一过滤库,定期更新各个产品联动,整体打击关键域名 DNS 解析情况实时监控
第三方建立第三方登记和认证中心,进行检测拦截建立高效,完善应急处理体制,迅速响应
互联网企业必须具备恶意网站检测发现能力
互联网企业如何应对恶意网站
剖析恶意代码攻击的几个特点:
基础:必须利用 ActiveX 漏洞、逻辑漏洞、浏览器漏洞
通道:通过 DNS 劫持, ARP 欺骗, SQL 注入挂马方式多样
对抗: Web2.0 技术普遍应用,自动检测困难
对抗:代码混淆技术形式多样,查杀困难
互联网企业如何应对恶意网站
剖析恶意代码的代码混淆技术:
变量:计算拼接, Unicode 变量名函数:分块,重定义编码: base64 、MD5 、自定义 加密运行时修改: eval、 window.exeScript、 document.write
条件激发:是否已中毒、 IE 版本是否符合、是否安装杀毒软件
当代码和数据混在一起,问题变复杂了
互联网企业如何应对恶意网站
网页木马代码混淆技术对抗杀毒 软件的实例
一段利用 InstallShield 漏洞的网马
混淆前,赛门铁克可以查杀
混淆后,赛门铁克不能查杀
互联网企业如何应对恶意网站
检测恶意代码的常见方案:
特征码:利用特征病毒库判断病毒的方式例子: JS.Dropper-33:3:200,30:756e6573636……
行为监控:在虚拟机中访问网页,监控程序网络访问行为
脚本解析:使用脚本引擎解析网页,获取最终执行代码
互联网企业如何应对恶意网站
一个利用虚拟机技术检测挂马页面例子,系统构成:
互联网企业如何应对恶意网站
一个利用虚拟机技术检测挂马页面例子,工作流程
互联网企业如何应对恶意网站
一个利用虚拟机技术检测挂马页面例子,结果分析 :
机器
运行时间(小时)
扫描URL
数(个
)
捕获可执行文件数
(个)
捕获 cab压缩文件数(个)
捕获其他文件
数(个)
扫描总文件数(个)
有风险文件数(个)
扫描效率
(条 /小时)
A 25 364 493 338 37 1221 354 15
B 48 586 607 591 68 1840 353 12
C 71 767 966 45 4216 9402 560 11
互联网企业如何应对恶意网站基于脚本解释引擎的挂马检测系统,引擎对比:
测试环境: 2G RAM, CPU 3.0GHz * 4 。系统: 32bit SuSE 10 + gcc 4.1.2
样本总计: 63854 个Js 引擎 性能 稳定性 扩展性tracemonkey 82.44% 的页面能
在 15ms内处理完毕; 91.11% 的页面能在 20ms内处理完毕
随机性的短代码( 4~6 行)来测试,连续测试 10万次。
内存占用较多
拥有比较灵活的api 来控制 js 代码的执行时间以及垃圾收集频率,对于应用的稳定性有很大的作用
Google V8 26.65% 的页面能在 20ms内处理完,71.06% 的页面能在 30ms内处理完
引擎在多次连续执行的环境下会不稳定,在一定数目的样本执行之后抛出内存失
败的异常退出
参考文档有限
互联网企业如何应对恶意网站
需要面对的钓鱼威胁:技术创新
安全需求:图章技术 (sealin) ,通道独立识别技术:过滤系统联动打击:各产品统一整体的打击体系
体系完善预防:用户教育检测:建立客服投诉渠道,迅速响应屏蔽打击:法务打击
互联网企业如何应对恶意网站
针对第三方的问题的一个解决方案
用户浏览器 第三方webserver 产品部门webserver 安全中心认证CGI服务器
用户访问保护第三方链接A的产品页面B
返回页面B -包含异步请求安全中心认证服务的js代码
异步请求安全中心认证服务的js代码在用户浏览器执行以后 ,请求认证A是否合法
安全中心根据恶意库和监控结果,返回B的认证结果
如果B页面认证结果合法,再异步请求该页面
显示给用户
腾讯产品安全现状与规划 腾讯以“最受尊敬的互联网公司”为远景,致力于提高互联网安全。
建立统一的恶意网站评价体系,并应用于各产品:
互联网企业应对恶意网站的思考
互联网企业应对恶意网站的思考
结束