基于模塊間通信的網(wǎng)頁木馬檢測技術(shù)的研究

【摘 要】隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)頁木馬（drive-by download）這一新形態(tài)的攻擊形式已經(jīng)成為了互聯(lián)網(wǎng)的主要威脅之一，并成為了惡意代碼傳播最主要的途徑。針對網(wǎng)頁木馬作為一種特殊的惡意代碼形式，傳統(tǒng)的檢測機制，無論是基于內(nèi)容的（如網(wǎng)絡(luò)入侵檢測系統(tǒng)、防病毒軟件），還是基于行為的（如防火墻、主機入侵檢測系統(tǒng)），都不能對其進行有效的檢測。因此，如何對這一攻擊形態(tài)進行有效的檢測與防護已成為了網(wǎng)絡(luò)安全領(lǐng)域的研究熱點之一。本文以提高客戶端對網(wǎng)頁掛馬的檢測和防護能力為目標，圍繞網(wǎng)頁掛馬的攻擊本質(zhì)及對其進行檢測的關(guān)鍵技術(shù)展開研究。

【關(guān)鍵詞】網(wǎng)頁木馬；模塊間通信；ActiveX；漏洞特征；客戶端蜜罐[1]

【Abstract】Drive-by download attack is one of the most severe threats to Internet users. Typically， only visiting a malicious page will result in compromise of the client and infection of malware. By the end of 2008， drive-by download had already become the number one infection vector of malware. The downloaded malware may steal the users' personal identification and password. They may also join botnet to send spams， host phishing site or launch distributed denial of service attacks.

【Key words】Drive-by Download；Inter-Module Communication；ActiveX；Vulnerability-based Signature；Client-side Honeypot

0.引言

隨著信息化技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)（Internet）已經(jīng)成為了人們生活中越來越不可缺少的組成部分，以CNNIC公布的統(tǒng)計報告[CNNIC 2013]為例，截至2013年12月中國互聯(lián)網(wǎng)用戶的數(shù)量已經(jīng)達到了6.18億，平均每周上網(wǎng)時長達25小時。在帶來便利的同時，互聯(lián)網(wǎng)上也存在著各種各樣的安全威脅，例如網(wǎng)絡(luò)蠕蟲、釣魚網(wǎng)站、網(wǎng)頁掛馬等，其中網(wǎng)頁掛馬是最近幾年發(fā)展最為迅猛，危害最為嚴重的網(wǎng)絡(luò)威脅之一，以趨勢公司2013年公布的安全報告 [Trend2013] 為例，網(wǎng)頁木馬已經(jīng)成為互聯(lián)網(wǎng)用戶感染惡意代碼最主要的來源。面對這一新形態(tài)的安全威脅，傳統(tǒng)的基于內(nèi)容的檢測機制（如網(wǎng)絡(luò)入侵檢測系統(tǒng)、殺毒軟件等）或基于行為的檢測機制（如防火墻，主機入侵檢測系統(tǒng)[2]等）并不能提供較為有效的防護。而與此同時，互聯(lián)網(wǎng)上的應(yīng)用，尤其是網(wǎng)絡(luò)支付、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)游戲等涉及資金的互聯(lián)網(wǎng)應(yīng)用正在不斷的普及。因此，如何更好的保護互聯(lián)網(wǎng)用戶的安全，如何更好的維護互聯(lián)網(wǎng)經(jīng)濟的生態(tài)環(huán)境，已經(jīng)成為了一個亟待解決的問題。

針對這一個問題，本文以提高PC客戶端對網(wǎng)頁木馬的檢測和防護能力為目標，對網(wǎng)頁木馬的攻擊過程進行深入的研究分析。在分析結(jié)果以及對通信流進行抽象建模的基礎(chǔ)上，本文提出了一種基于模塊間通信流監(jiān)視的入侵檢測機制。

1.研究目標

為了應(yīng)對網(wǎng)頁掛馬這一安全威脅，除了上面提到的四種傳統(tǒng)的檢測機制，研究人員已經(jīng)在各個層次上提出了一些新的解決方案，例如通過對服務(wù)器端的注入攻擊進行防護，阻止網(wǎng)頁被掛馬；在網(wǎng)關(guān)接入層對網(wǎng)頁和腳本進行動態(tài)修改，植入安全防范代碼；使用客戶端蜜罐等等。但這些方案都有一定的不足：針對服務(wù)器的防護無法阻止網(wǎng)站擁有者為了經(jīng)濟利益而故意掛馬；網(wǎng)關(guān)層的植入僅能應(yīng)對采用明文傳輸?shù)木W(wǎng)頁及特定語言編寫的腳本；客戶端蜜罐僅僅用于檢測，無法提供實時防護等。基于這一現(xiàn)實，本選題的研究目標是，面向網(wǎng)頁木馬這一新形態(tài)的安全威脅，對其機制進行研究，提出一種更有效的入侵檢測技術(shù)。并基于該機制，開發(fā)一套新的主機入侵檢測系統(tǒng)，使其能夠為當前最廣泛使用的瀏覽器（IE）及其插件（ActiveX）提供有效的防護。該系統(tǒng)相較于現(xiàn)有的研究成果，應(yīng)具有相當或更高的檢出率，相當或更低的誤報率，更廣的適用范圍以及更好的性能。

2.研究內(nèi)容

2.1面向網(wǎng)頁木馬的主機入侵檢測技術(shù)

為了躲避靜態(tài)檢測，網(wǎng)頁木馬的原始攻擊代碼往往具有很大的靈活性，但在發(fā)動攻擊的時刻，為了觸發(fā)組件或插件中的漏洞，交互的內(nèi)容必須滿足特定的條件（例如傳入?yún)?shù)的長度），鑒于這些條件具有較強的不變性，因此本系統(tǒng)選擇使用這些交互內(nèi)容作為入侵檢測的數(shù)據(jù)來源。為了使該技術(shù)具有更好的實用性，本文選擇微軟的IE作為防護目標進行系統(tǒng)開發(fā)。對于IE來說，由于其瀏覽器組建和ActiveX插件都是COM對象，因此模塊間的交互內(nèi)容即為COM通信流，相應(yīng)的，COM通信流獲取就成為整個檢測方案的前端部分。

2.2 ActiveX插件模擬技術(shù)

為了提高攻擊的成功性，網(wǎng)頁木馬通常會包含針對多個漏洞的攻擊代碼，由于本文開發(fā)的檢測系統(tǒng)是基于高交互蜜罐的，因此插件的豐富程度對檢出率有著較大的影響。但各種插件之間可能存在版本或功能的互斥性，本文還將對ActiveX插件的模擬技術(shù)進行研究。

2.3網(wǎng)頁木馬重放技術(shù)

由于網(wǎng)頁木馬的生存周期較短，難以作為測試集供調(diào)試、驗證使用，因此網(wǎng)頁木馬的重放技術(shù)也是本文的一項研究內(nèi)容。

3.關(guān)鍵技術(shù)

本研究針對網(wǎng)頁木馬這一互聯(lián)網(wǎng)上最主要的安全威脅形式進行了深入的分析，根據(jù)其攻擊的特點，提出了一種全新的基于模塊間通信的網(wǎng)頁木馬檢測及防護技術(shù)。

滲透攻擊檢測系統(tǒng)由兩個主要組成部分構(gòu)成：通信監(jiān)聽模塊和檢測模塊。通信監(jiān)聽模塊負責對瀏覽器內(nèi)部各模塊間的通信進行監(jiān)聽，并生成相應(yīng)的安全事件。檢測模塊將監(jiān)聽模塊捕獲的安全事件序列與漏洞庫中的特征進行比較，進而判定是否發(fā)生了滲透攻擊事件。本研究的關(guān)鍵技術(shù)如圖1所描述：

4.研究成果和意義

本項目針對網(wǎng)頁木馬這一互聯(lián)網(wǎng)上最主要的安全威脅形式進行了深入的分析，根據(jù)其攻擊的特點，提出了一種全新的基于模塊間通信的網(wǎng)頁木馬檢測及防護技術(shù)。

基于該技術(shù)，可以適用于目前市場占有率最高的微軟 Internet Explorer（MSIE）瀏覽器的網(wǎng)頁木馬檢測系統(tǒng)。在實際環(huán)境中可以為網(wǎng)絡(luò)應(yīng)急響應(yīng)部門或法律執(zhí)行部門提供技術(shù)支持，協(xié)助其掛馬網(wǎng)頁的監(jiān)測和事件處理；也能夠?qū)\營商、網(wǎng)絡(luò)服務(wù)提供商、反病毒廠商提供數(shù)據(jù)支持，能夠幫助其提高服務(wù)質(zhì)量；對校園網(wǎng)絡(luò)及個人計算機應(yīng)用提供服務(wù)，提高其上網(wǎng)的安全性。

5.結(jié)束語

本文提出的技術(shù)及實現(xiàn)的原型系統(tǒng)雖然具有較好的測試結(jié)果，但也存在著一些不足：

首先，本文實現(xiàn)的原型系統(tǒng)僅能檢測使用顯示方法調(diào)用發(fā)動的攻擊，但并不是所有的攻擊都是基于這種形式，例如使用惡意Flash文件利用的漏洞，使用惡意PDF利用的漏洞及使用惡意圖像文件發(fā)動的攻擊。為了檢測這種類型的攻擊，可以為原型系統(tǒng)添加針對相應(yīng)文件類型進行的特殊檢測方式。

其次，本文提出的方法是基于特征的，雖然基于漏洞的特征具有較好的準確率，但還是無法對特征庫中不存在的漏洞進行防護。針對這一缺點，可以在原型系統(tǒng)中添加基于異常的檢測機制，例如調(diào)用參數(shù)中是否包含超長字符串，單一網(wǎng)頁使用的ActiveX插件的數(shù)量是否過多等。

最后，本文使用的特征尚為手工提取，效率低、易出錯。鑒于現(xiàn)有工作中已經(jīng)包含自動化的提取方式，且諸如BitBlaze[4]等著名分析平臺已開源，可進一步研發(fā)自動化的特征提取方式。同時，本文使用的漏洞均來自CVE等漏洞庫或捕獲的網(wǎng)頁木馬，限制了防護的響應(yīng)時間，下一步可在特征自動提取技術(shù)[5]的基礎(chǔ)上研究常見漏洞的挖掘技術(shù)。 [科]

【參考文獻】

[1]諸葛建偉，韓心慧，周勇林，宋程昱，郭晉鵬，鄒維.HoneyBow：一個基于高交互式蜜罐技術(shù)的惡意代碼自動捕獲器，通信學報，2007，12，28（12）：8-13.

[2]蔣建春，馬恒太，任黨恩，卿斯?jié)h.網(wǎng)絡(luò)安全入侵檢測：研究綜述，軟件學報，11（11）：1460-1466.

[3]張慧琳，諸葛建偉，宋程昱，韓心慧，鄒維.基于網(wǎng)頁動態(tài)視圖的網(wǎng)頁木馬檢測方法研究，清華學報，2009年增刊.

[4]諸葛建偉.網(wǎng)絡(luò)入侵檢測與行為關(guān)聯(lián)分析技術(shù)研究，博士研究生論文，2006.

[5]張昊，陶然，李志勇.判斷矩陣法在網(wǎng)頁惡意腳本檢測中的應(yīng)用，兵工學報，2008.