代码改变世界

互联网企业应对恶意网址的思考

2011-06-22 14:52  熬夜的虫子  阅读(368)  评论(0编辑  收藏  举报

 形势概述与危害分析

利益驱动,恶意软件专业化,集团化

通过第三方挂马,间接挂马方式流行


第三方软件漏洞大量利用,0day频出,防不胜防

针对诈骗问题,互联网企业很难独善其身

互联网企业如何应对恶意网站

搜索
Google,Yahoo搜索结果加入恶意评价
Google Safe Browsing API提供恶意库

浏览器
IE、firefox等添加恶意检查特性
安全浏览器:sandboxie  、360安全浏览器

安全厂商
杀毒客服端,云安全
IE 插件,过滤防火墙
评价体系McAfee SiteAdvisor

互联网公司需要面对的挂马威胁策略:

办公网:不受渗透威胁
  建立认证web 访问控制
  建立出口exe下载,url访问审计日志
产品:不挂马传播渠道,保护帐号体系
  建立统一过滤库,定期更新
  各个产品联动,整体打击
  关键域名DNS 解析情况实时监控
第三方
  建立第三方登记和认证中心,进行检测拦截
  建立高效,完善应急处理体制,迅速响应

 

剖析恶意代码攻击的几个特点:

基础:必须利用ActiveX漏洞、逻辑漏洞、浏览器漏洞
通道:通过DNS劫持,ARP欺骗,SQL注入挂马方式多样
对抗:Web2.0技术普遍应用,自动检测困难
对抗:代码混淆技术形式多样,查杀困难

剖析恶意代码的代码混淆技术:

变量:计算拼接,Unicode变量名
函数:分块,重定义
编码:base64 、MD5、自定义 加密
运行时修改:eval、window.exeScript、document.write
条件激发:是否已中毒、IE版本是否符合、是否安装杀毒软件

 检测恶意代码的常见方案:

特征码:利用特征病毒库判断病毒的方式
例子:JS.Dropper-33:3:200,30:756e6573636……

行为监控:在虚拟机中访问网页,监控程序网络访问行为

脚本解析:使用脚本引擎解析网页,获取最终执行代码

需要面对的钓鱼威胁:
技术创新
安全需求:图章技术(sealin),通道独立
识别技术:过滤系统
联动打击:各产品统一整体的打击体系
体系完善
预防:用户教育
检测:建立客服投诉渠道,迅速响应屏蔽
打击:法务打击
针对第三方的问题的一个解决方案:

 

对于互联网公司如何应对恶意网站这个内容可以探讨的很多。
这只是个人的一些思考,希望能够引起大家更多的思考。

互联网公司要能够共同努力,毕竟用户机器中毒对于任何一家互联网公司不是一件什么好消息。