BLADE: Kan det stoppe drive-by malware?

Lige nu er der en overflod af websteder, der med succes serverer malware til intetanende besøgende. Er der en kur? Nogle forskere mener det.

-------------------------------------------------- -----------------------------------

BLADE ( BL ock A ll D rive-by download E xploits), som er forsker fra College of Computing ved Georgia Institute of Technology og SRI International, er positioneret til at hjælpe med at dæmme strømmen af ​​drive-by malware. Ifølge Dasient.com sporer virksomheden over 200 tusind forskellige webbaserede malware-trusler.

Hvad er drive-by malware?

Jeg har skrevet om denne type malware før. Men holdets forskningsdokument BLADE: En angreb-agnostisk tilgang til at forhindre Drive-By Malware-infektioner (pdf) påpegede noget, jeg ikke var klar over:

"Målet med drive-by exploit er at tage effektiv, midlertidig kontrol af klientens webbrowser med det formål at tvinge den til at hente, gemme og derefter udføre en binær applikation (f.eks. .Exe, .dll, .msi, .sys) uden at afsløre for den menneskelige bruger, at disse handlinger har fundet sted. "

Delen om at drive-by malware er en midlertidig ledning for at få den ønskede malware indlæst på computeren var ny for mig. Lad os se på, hvordan forskerne mener, at processen fungerer.

Processen

Det hele starter, når et ulykkeligt offer snubler på et kompromitteret officielt websted eller muligvis et afspil af et officielt sted, der serverer drive-by malware. Dernæst begynder kodeinjektionsprocessen og består af følgende tre faser:

  • Shellcode-injektionsfase : Kode, der har til formål at undergrave webbrowseren, downloades ved at udnytte en sårbar komponent i webbrowseren.
  • Shellcode-eksekveringsfase : Den downloadede kode injiceres derefter i webbrowserprocessen.
  • Skjult binær installationsfase : Webbrowseren, som nu er kompromitteret, forsøger at hente malware fra angriberen's webserver. Denne kode installeres på offerets computer og gør alle de skader, vi hører om.

Forskerne konstaterede også, at drive-by malware på en eller anden måde undgår behovet for brugertilladelse til at downloade og udføre ikke-understøttet filtype såsom .exe, .dll og .sys. Med denne information i hånden udviklede forskerteamet BLADE.

BLADEs designkriterier

BLADE en browser-uafhængig operativsystemkerneudvidelse designet til at forhindre uautoriseret udførelse af indhold. Jeg fortolker, at det betyder, at BLADE opfanger alt downloadet indhold, som ikke er blevet godkendt af brugeren, og forhindrer det i at udføre.

For at opnå dette implementerede forskerteamet følgende i BLADE:

  • Optagelse og fortolkning af brugertilladelse i realtid : Nøglen til BLADE fungerer korrekt, interaktion mellem bruger og browser overvåges for at fange oplysninger, der vedrører en bruger, der autoriserer en download.
  • Robust sammenhæng mellem autorisation og downloadindhold : BLADE skal være i stand til at skelne mellem brugerinitieret downloads af webbrowser og uautoriserede.
  • Streng håndhævelse af forebyggelse af eksekvering : Uautoriseret indhold må ikke have tilladelse til at udføre.
  • Agnostisk håndhævelse af browseren : BLADE må ikke stole på, hvordan en webbrowser skal fungere. Dette er kritisk, fordi ny webbrowser-teknologi introduceres hele tiden.
  • Uafhængighed af udnyttelse og unddragelse : BLADE skal også være uafhængig af enhver udnyttelse, som angribere bruger til at undergrave webbrowseren.
  • Effektiv og brugbar systemydelse : Webbrowser-ydelsen må ikke kompromitteres, og heller ikke tilladelse til forsinkelser. Faktisk bør BLADE ikke have en mærkbar indflydelse på nogen computerdrift.

Sådan fungerer BLADE

For at se uønskede downloadforsøg placerer BLADE følgende processer i kerneområdet,

  • Bruger-interaktionssporing : BLADE bruger en skærmparser, hardware-begivenhedsspor og en vejleder til at spore brugerens fysiske interaktioner med webbrowseren, specifikt når der kræves download-tilladelse.
  • Samtykke korrelation : Denne proces kræves af BLADE for at skelne mellem gennemsigtige downloads og dem, der kræver bruger tilladelse.
  • Disk I / O-omdirigering : Når BLADE lokaliserer uautoriserede downloads, omdirigerer den koden til en sikker zone. Data forhindres også i at indlæse i hukommelsen som en eksekverbar.

Følgende dias (med tilladelse fra forskerteamet) repræsenterer BLADE's systemarkitektur.

Den vigtigste ingrediens, der får BLADE til at fungere, er dens evne til at skelne mellem, om download er autoriseret eller ej. Hvordan det gøres er baseret på en anden kendsgerning, at jeg ikke vidste om webbrowsere.

Hvad forskerteamet har fundet, er, at webbrowsere bruger en veldefineret proces til at implementere download-bekræftelser. Det betyder, at en applikation som BLADE, der specifikt kigger efter download-tilladelser, kun har brug for et par eksempler fra den forskellige webbrowser for at genkende de fleste download-godkendelsesforsøg.

Følgende dias (med tilladelse fra forskerteamet) forklarer, hvordan BLADE kontrollerer for godkendelse:

For en dybdegående analyse af hver komponent henvises der til forskerholdets papir.

Hvor effektiv er BLADE?

BLADE blev testet under omstændigheder i den virkelige verden, som følgende citat forklarer:

"Vores testbed høster automatisk malware-URL'er fra flere hvide kilder på daglig basis og evaluerer BLADE mod potentielle drive-by-URL'er, der blev rapporteret inden for de sidste 48 timer. For at validere BLADE's browser og udnytte uafhængighed testes hver URL mod flere softwarekonfigurationer, der dækker forskellige browserversioner og almindelige plug-ins. Systemopkald og netværksspor bruges til at teste for ubesvarede angreb (falske negativer). "

Forskerteamet har en webside, der indeholder resultaterne af deres evaluering. Interessant nok synes deres data at verificere, hvad andre sikkerhedseksperter har sagt om Adobe-produkter:

Ifølge forskningsdokumentet har næsten 19.000 forsøg fundet sted med nul falske positive og nul falske negativer. Dette betyder, at BLADE forhindrede, at wild-in-the-wild-drive-by malware installeres i alle tilfælde.

Ikke en kur-alle

BLADE er designet til at blokere drive-by malware, der prøver at skrive til harddisken. Lige nu fungerer det, da et flertal af drive-by malware bruger denne tilgang. Men sikkerhedseksperter er opmærksomme på visse trusler, der kun befinder sig i hukommelsen, og BLADE vil ikke genkende dem.

Så er der malware, der installeres ved at udnytte social engineering. BLADE hjælper ikke, da brugeren villigt accepterer download.

Endelig har udviklere udtrykt bekymring for, at BLADE kan ødelægge legitime applikationer som Windows Update, der henter software i baggrunden.

Endelige tanker

Forskningsteamets arbejde påpeger endnu en gang, hvor vigtigt det er at holde operativsystemet og alle applikationer (specielt Adobe-produkter) ajour. Uden sårbarheder kan drive-by malware ikke få fodfæste.

Jeg påpegede, at BLADE ikke vil løse ethvert problem, men det har lovet at være et godt værktøj i vores sikkerhedsarsenal. Hvis du er interesseret, kan du tjekke tilbage på BLADE-Defender.org websted, da BLADE V1.0 (en gratis forskningsprototype) vil være tilgængelig snart.

© Copyright 2020 | mobilegn.com