检测来自Web的威胁-屈波
背景介绍
核心为信息变现或资源变现
- Web仍然是互联网安全的重灾区
- 传统攻击手段大量存在(Exploit Kits、Phishing Kits、恶意插件与其它)
- 新攻击方式爆炸式增长(CoinMiner 8500%)
- 云端检测、分析与情报
- 获得直接或间接利益
- 通常以浏览器作为入口,持久化控制
- 窃取账号密码虚拟财产等
- 网络带宽资源
- 算力
- 存储空间
- 其他有用的资源
沙盒设计与数据采集
数据收集的原则
- 监控一切与敏感信息有关的行为
- 监控一切与资源相关的数据
- 被动提供与主动提供
- 自动化程度高的攻击
- 需要诱导用户交互的攻击
第一道防线:浏览器定制
- 开源的浏览器内核(Webkit与Chrome、页面与元素、可显示文字与图片、脚本与事件)
- 非开源产品,如IE(MSDN)
- 网页的源代码(Cache文件接口)
- 脚本引擎(ParseScriptText、从Document.write和eval导出数据)
- 两棵树(DOM Tree和Display Tree)
- 从BHO开始构建DOM Tree和Display Tree
第二道防线:系统定制
- 常规的信息收集
- 文件
- 注册表项
- API调用
- 系统资源消耗监控
- CPU占用率信息
- 内存与交换文件
- 磁盘读写情况
- 网络与其他资源监控
周边问题
软件与硬件
- 物理机与虚拟机
- 配置一定数量的虚拟机
- Opensshd.io
- 操作系统与浏览器
地域与代理
- IP的地域性
- DNS选择
- Tor与VPN
文档与诱饵
- 尽可能真实和多样的环境
- 模拟受害者的不良习惯
引入交互
- 设置一个合理的交互场景(鼠标和键盘事件、页面停留时间)
- 模拟受害场景(点击与确认下载、确认执行、输入与提交用户名密码、其它)
分析与关联
基于规则的分析
建立已知攻击类型的规则
- 下载执行文件
- 内存加载可执行文件
- 访问受保护的文件
异常规则
- 不常用的模块加载
- 异常资源消耗
已知攻击的检测
- Alexa top 1M中的异常网站
- Exploit Kit与Phishing Kit
- 其他类型攻击
新类型攻击检测
- CoinHive
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/17/%E6%A3%80%E6%B5%8B%E6%9D%A5%E8%87%AAWeb%E7%9A%84%E5%A8%81%E8%83%81/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/17/%E6%A3%80%E6%B5%8B%E6%9D%A5%E8%87%AAWeb%E7%9A%84%E5%A8%81%E8%83%81/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
