林世飛-互聯(lián)網(wǎng)企業(yè)應(yīng)對(duì)惡意網(wǎng)址的思考-applelin

互聯(lián)網(wǎng)企業(yè)應(yīng)對(duì)惡意網(wǎng)站的思考安全中心

applelin目錄形勢(shì)概述與危害分析問(wèn)題與難點(diǎn)分析互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站騰訊產(chǎn)品安全現(xiàn)狀與規(guī)劃0.02%799769635%…形勢(shì)概述與危害分析形勢(shì)概述與危害分析利益驅(qū)動(dòng)，惡意軟件專業(yè)化，集團(tuán)化通過(guò)第三方掛馬，間接掛馬方式流行第三方軟件漏洞大量利用，0day頻出，防不勝防針對(duì)詐騙問(wèn)題，互聯(lián)網(wǎng)企業(yè)很難獨(dú)善其身形勢(shì)概述與危害分析木馬下載器大量傳播，危害游戲產(chǎn)業(yè)帳號(hào)體系催生僵尸網(wǎng)絡(luò)，DDOS攻擊流行通過(guò)肉雞進(jìn)行點(diǎn)擊欺詐，危害廣告、搜索產(chǎn)業(yè)詐騙帶來(lái)大量投訴，運(yùn)營(yíng)成本高，企業(yè)信譽(yù)受損電子商務(wù)，銀行用戶受損較大，用戶流失問(wèn)題與難點(diǎn)分析掛馬網(wǎng)站用戶木馬服務(wù)器正常網(wǎng)站掛馬網(wǎng)站危害用戶過(guò)程分析:問(wèn)題與難點(diǎn)分析未中毒，帳號(hào)未被盜未中毒，帳號(hào)已被盜已中毒，帳號(hào)未被盜已中毒，帳號(hào)已被盜斗爭(zhēng)不可避免，需化被動(dòng)為主動(dòng)！不同時(shí)期打擊成本金字塔:互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站搜索Google，Yahoo搜索結(jié)果加入惡意評(píng)價(jià)

GoogleSafeBrowsingAPI提供惡意庫(kù)瀏覽器IE、firefox等添加惡意檢查特性安全瀏覽器：sandboxie、360安全瀏覽器安全廠商殺毒客服端，云安全I(xiàn)E插件，過(guò)濾防火墻評(píng)價(jià)體系McAfeeSiteAdvisor互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站互聯(lián)網(wǎng)公司需要面對(duì)的掛馬威脅策略：辦公網(wǎng)：不受滲透威脅建立認(rèn)證web訪問(wèn)控制建立出口exe下載，url訪問(wèn)審計(jì)日志產(chǎn)品：不掛馬傳播渠道，保護(hù)帳號(hào)體系建立統(tǒng)一過(guò)濾庫(kù)，定期更新各個(gè)產(chǎn)品聯(lián)動(dòng)，整體打擊關(guān)鍵域名DNS解析情況實(shí)時(shí)監(jiān)控第三方建立第三方登記和認(rèn)證中心，進(jìn)行檢測(cè)攔截建立高效，完善應(yīng)急處理體制，迅速響應(yīng)互聯(lián)網(wǎng)企業(yè)必須具備惡意網(wǎng)站檢測(cè)發(fā)現(xiàn)能力互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站剖析惡意代碼攻擊的幾個(gè)特點(diǎn)：基礎(chǔ)：必須利用ActiveX漏洞、邏輯漏洞、瀏覽器漏洞通道：通過(guò)DNS劫持，ARP欺騙，SQL注入掛馬方式多樣對(duì)抗：Web2.0技術(shù)普遍應(yīng)用，自動(dòng)檢測(cè)困難對(duì)抗：代碼混淆技術(shù)形式多樣，查殺困難互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站剖析惡意代碼的代碼混淆技術(shù)：變量：計(jì)算拼接，Unicode變量名函數(shù)：分塊，重定義編碼：base64、MD5、自定義

加密運(yùn)行時(shí)修改：eval、window.exeScript、document.write條件激發(fā)：是否已中毒、IE版本是否符合、是否安裝殺毒軟件當(dāng)代碼和數(shù)據(jù)混在一起，問(wèn)題變復(fù)雜了互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站網(wǎng)頁(yè)木馬代碼混淆技術(shù)對(duì)抗殺毒軟件的實(shí)例一段利用InstallShield漏洞的網(wǎng)馬混淆前，賽門(mén)鐵克可以查殺混淆后，賽門(mén)鐵克不能查殺互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站檢測(cè)惡意代碼的常見(jiàn)方案：特征碼：利用特征病毒庫(kù)判斷病毒的方式例子：JS.Dropper-33:3:200,30:756e6573636……行為監(jiān)控：在虛擬機(jī)中訪問(wèn)網(wǎng)頁(yè)，監(jiān)控程序網(wǎng)絡(luò)訪問(wèn)行為腳本解析：使用腳本引擎解析網(wǎng)頁(yè)，獲取最終執(zhí)行代碼互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站一個(gè)利用虛擬機(jī)技術(shù)檢測(cè)掛馬頁(yè)面例子，系統(tǒng)構(gòu)成：運(yùn)行環(huán)境Windowsvmware監(jiān)控程序一個(gè)控制中心一個(gè)抓包程序一個(gè)調(diào)度程序Web前臺(tái)控制輸入查詢結(jié)果DB存儲(chǔ)輸入url保存結(jié)果互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站一個(gè)利用虛擬機(jī)技術(shù)檢測(cè)掛馬頁(yè)面例子，工作流程互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站一個(gè)利用虛擬機(jī)技術(shù)檢測(cè)掛馬頁(yè)面例子，結(jié)果分析：機(jī)器運(yùn)行時(shí)間（小時(shí)）掃描URL數(shù)（個(gè)）捕獲可執(zhí)行文件數(shù)（個(gè)）捕獲cab壓縮文件數(shù)（個(gè)）捕獲其他文件數(shù)（個(gè)）掃描總文件數(shù)（個(gè)）有風(fēng)險(xiǎn)文件數(shù)（個(gè)）掃描效率（條/小時(shí)）A2536449333837122135415B4858660759168184035312C71767966454216940256011互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站基于腳本解釋引擎的掛馬檢測(cè)系統(tǒng)，引擎對(duì)比：測(cè)試環(huán)境：2GRAM，CPU3.0GHz*4。系統(tǒng)：32bitSuSE10+gcc4.1.2樣本總計(jì)：63854個(gè)Js引擎性能穩(wěn)定性擴(kuò)展性tracemonkey

82.44%的頁(yè)面能在15ms內(nèi)處理完畢；91.11%的頁(yè)面能在20ms內(nèi)處理完畢

隨機(jī)性的短代碼（4~6行）來(lái)測(cè)試，連續(xù)測(cè)試10萬(wàn)次。內(nèi)存占用較多

擁有比較靈活的api來(lái)控制js代碼的執(zhí)行時(shí)間以及垃圾收集頻率，對(duì)于應(yīng)用的穩(wěn)定性有很大的作用GoogleV826.65%的頁(yè)面能在20ms內(nèi)處理完，71.06%的頁(yè)面能在30ms內(nèi)處理完引擎在多次連續(xù)執(zhí)行的環(huán)境下會(huì)不穩(wěn)定，在一定數(shù)目的樣本執(zhí)行之后拋出內(nèi)存失敗的異常退出參考文檔有限互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站需要面對(duì)的釣魚(yú)威脅：技術(shù)創(chuàng)新安全需求：圖章技術(shù)(sealin)，通道獨(dú)立識(shí)別技術(shù)：過(guò)濾系統(tǒng)聯(lián)動(dòng)打擊：各產(chǎn)品統(tǒng)一整體的打擊體系體系完善預(yù)防：用戶教育檢測(cè)：建立客服投訴渠道，迅速響應(yīng)屏蔽打擊：法務(wù)打擊互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)惡意網(wǎng)站針對(duì)第三方的問(wèn)題的一個(gè)解決方案騰