BLADE: Voiko se estää ajettavan haittaohjelman?

Tällä hetkellä on olemassa runsaasti verkkosivustoja, jotka tarjoavat onnistuneesti haittaohjelmia häiriöttömille kävijöille. Onko parannuskeinoa? Jotkut tutkijat ajattelevat niin.

-------------------------------------------------- -----------------------------------

BLADE ( BL ock A ll -dive-by download E xploits), Georgian teknillisen instituutin ja SRI Internationalin tietotekniikan korkeakoulujen tutkijoiden aivorukko, on asetettu auttamaan estämään ajettavien haittaohjelmien vuorovesi. Suuri juttu Dasient.com-sivuston mukaan yritys seuraa yli 200 tuhatta erilaista verkkopohjaista haittaohjelmauhkaa.

Mitä ajaa haittaohjelma?

Olen kirjoittanut tämän tyyppisistä haittaohjelmista aiemmin. Ryhmän tutkimuslehti BLADE: Attack-Agnostic Approach for By-By Malware -infektioiden estämiseksi (pdf) huomautti asiasta, jota en ollut tietoinen:

"Ohjatun hyväksikäytön tavoitteena on ottaa tehokas väliaikainen hallinta asiakasselaimeen pakottaakseen sen hakemaan, tallentamaan ja suorittamaan sitten binaarisovelluksen (esim. .Exe, .dll, .msi, .sys) paljastamatta käyttäjälle, että nämä toimet on tapahtunut. "

Se osa uusinta haittaohjelmaa, joka on väliaikainen kanava halutun haittaohjelman lataamiseksi tietokoneelle, oli minulle uusi. Katsotaanpa miten tutkijoiden mielestä prosessi toimii.

Prosessi

Kaikki alkaa, kun onneton uhri kompastuu vaarannetulle viralliselle verkkosivustolle tai mahdollisesti osua viralliselle sivustolle, joka palvelee ajaa haittaohjelmia. Seuraavaksi koodin injektioprosessi alkaa ja koostuu seuraavista kolmesta vaiheesta:

  • Shellcode injection vaihe : Verkkoselaimen kumoamiseen tarkoitettu koodi ladataan hyödyntämällä selaimen haavoittuvaa osaa.
  • Shellcode-suoritusvaihe : Ladattu koodi ruiskutetaan sitten selaimen prosessiin.
  • Piilotettu binaarinen asennusvaihe : Selain, nyt vaarannettu, yrittää hakea haittaohjelmia hyökkääjän verkkopalvelimelta. Tämä koodi asentuu uhrin tietokoneelle ja tekee kaikki vahingot, joista kuulemme.

Tutkijat päättelivät myös, että ajettu haittaohjelma jollain tavalla välttää käyttäjän luvan tarpeen ladata ja suorittaa tukemattomia tiedostotyyppejä, kuten .exe, .dll ja .sys. Tämän tiedon ollessa kädessä tutkimusryhmä kehitti BLADE: n.

BLADEn suunnittelukriteerit

BLADE selaista riippumaton käyttöjärjestelmän ytimen laajennus, joka on suunniteltu estämään luvattoman sisällön suorittaminen. Tulkitsen sen tarkoittavan, että BLADE sieppaa kaiken ladatun sisällön, jota käyttäjä ei ole ymmärtänyt, ja estää sitä suorittamasta.

Tämän saavuttamiseksi tutkimusryhmä toteutti seuraavat asiat BLADE: ssä:

  • Reaaliaikainen käyttäjän valtuutuksen kaappaus ja tulkinta : Avainta BLADE-laitteen toimimiseen oikein, käyttäjän ja selaimen välistä vuorovaikutusta seurataan, jotta sieppataan tiedot, jotka liittyvät latauksen myöntäneeseen käyttäjään.
  • Vahva korrelaatio valtuutuksen ja lataussisällön välillä : BLADE-laitteen on kyettävä erottamaan käyttäjän käynnistämät web-selaimen lataukset laittomista.
  • Suorituksen estämisen tiukka täytäntöönpano : Luvatonta sisältöä ei saa antaa suorittaa.
  • Selaimen vianmääritys : BLADE ei saa luottaa siihen, kuinka selaimen pitäisi toimia. Tämä on kriittistä, koska uutta selainteknologiaa otetaan käyttöön jatkuvasti.
  • Hyödyntäminen ja veropetosten riippumattomuus : BLADE: n on oltava myös riippumaton hyökkäyksistä, joita hyökkääjät käyttävät verkkoselaimen kumoamiseen.
  • Tehokas ja käyttökelpoinen järjestelmän suorituskyky : Web-selaimen suorituskykyä ei saa vaarantaa, eikä viiveitä saa sallia. Itse asiassa BLADE: lla ei pitäisi olla havaittavaa vaikutusta mihinkään tietokoneen toimintaan.

Kuinka BLADE toimii

Löytääkseen ei-toivotut latausyritykset, BLADE sijoittaa seuraavat prosessit ytimen tilaan,

  • Käyttäjän vuorovaikutuksen seuranta : BLADE käyttää näytön jäsentäjää, laitteisto-tapahtumien jäljittäjää ja valvojaa seuraamaan käyttäjän fyysisiä vuorovaikutuksia verkkoselaimen kanssa, etenkin kun latauksen valtuutusta pyydetään.
  • Hyväksyntäkorrelaatio : BLADE vaatii tätä prosessia erottamaan läpinäkyvät lataukset ja käyttäjän lupaa vaativat lataukset.
  • Levyn I / O-uudelleenohjaus : Kun BLADE etsii luvattomia latauksia, se ohjaa koodin suojattuun alueeseen. Tietojen latautuminen muistiin myös estetään suoritettuna.

Seuraava dia (tutkimusryhmän luvalla) edustaa BLADE: n järjestelmäarkkitehtuuria.

Tärkein ainesosa, joka saa BLADE: n toimimaan, on sen kyky selvittää, onko lataus sallittu vai ei. Kuinka tämä tehdään, perustuu toiseen tosiseikkaan, jota en tiennyt web-selaimista.

Tutkimusryhmä on havainnut, että selaimet käyttävät tarkkaan määriteltyä prosessia latausvahvistusten toteuttamiseen. Tämä tarkoittaa, että BLADE-tyyppinen sovellus, joka etsii erityisesti latausvaltuuksia, tarvitsisi vain muutamia esimerkkejä eri selaimista tunnistaakseen useimmat latausvaltuusyritykset.

Seuraava dia (tutkimusryhmän luvalla) selittää, kuinka BLADE tarkistaa luvan:

Tutkimusryhmän asiakirjassa on yksityiskohtainen analyysi jokaisesta komponentista.

Kuinka tehokas on BLADE?

BLADE testattiin reaalimaailman olosuhteissa, koska seuraava tarjous selittää:

"Testisäiliömme kerää automaattisesti haittaohjelmien URL-osoitteet useista whitehat-lähteistä päivittäin ja arvioi BLADE: tä mahdollisten ohjaavien URL-osoitteiden perusteella, joista on ilmoitettu viimeisen 48 tunnin aikana. BLADE-selaimen validoimiseksi ja riippumattomuuden hyödyntämiseksi kukin URL-osoite testataan useiden ohjelmistokokoonpanojen perusteella erilaiset selainversiot ja yleiset laajennukset. Järjestelmäpuheluita ja verkon jälkiä käytetään testaamaan menetettyjä hyökkäyksiä (vääriä negatiivisia). "

Tutkimusryhmällä on verkkosivu, joka sisältää arviointinsa tulokset. Mielenkiintoista, että heidän tietonsa näyttävät vahvistavan sen, mitä muut tietoturva-asiantuntijat ovat sanoneet Adobe-tuotteista:

Tutkimuspaperin mukaan lähes 19 000 tutkimusta on tehty, nolla vääriä positiivisia ja nolla vääriä negatiivisia. Merkitys, BLADE esti luonnossa tapahtuvan ajettavan haittaohjelman asentamisen kaikissa tapauksissa.

Ei parantavaa

BLADE on suunniteltu estämään ajautunut haittaohjelma, joka yrittää kirjoittaa kiintolevylle. Tällä hetkellä se toimii, koska suurin osa ajotehtävissä olevista haittaohjelmista käyttää tätä lähestymistapaa. Turvallisuusasiantuntijat ovat kuitenkin tietoisia tietyistä vain muistissa olevista uhista, ja BLADE ei tunnista niitä.

Sitten on haittaohjelmia, jotka asentuvat hyödyntämällä sosiaalista suunnittelua. BLADE: stä ei ole apua, koska käyttäjä suostuu vapaaehtoisesti lataukseen.

Lopuksi kehittäjät ovat ilmaisseet huolensa siitä, että BLADE saattaa rikkoa laillisia sovelluksia, kuten Windows Update, jotka lataavat ohjelmiston taustalla.

Lopulliset ajatukset

Tutkimusryhmän työ korostaa jälleen kerran, kuinka tärkeää on pitää käyttöjärjestelmä ja kaikki sovellukset (erityisesti Adobe-tuotteet) ajan tasalla. Asennetut haittaohjelmat eivät voi saada jalansijaa ilman haavoittuvuuksia.

Huomautin, että BLADE ei ratkaise kaikkia ongelmia, mutta se on lupaava olla hyvä työkalu turvallisuusarsenalissamme. Jos olet kiinnostunut, katso uudelleen BLADE-Defender.org-verkkosivustolta, koska BLADE V1.0 (ilmainen tutkimusprototyyppi) on saatavana pian.

© Copyright 2020 | mobilegn.com