BLADE: Kann es Drive-by-Malware stoppen?

Derzeit gibt es eine Vielzahl von Websites, auf denen ahnungslose Besucher erfolgreich mit Malware versorgt werden. Gibt es eine Heilung? Einige Forscher glauben es.

-------------------------------------------------- -----------------------------------

BLADE ( BL ock A ll D rive-by-Download E xploits), eine Idee von Forschern des College of Computing am Georgia Institute of Technology und von SRI International, soll dazu beitragen, die Flut von Drive-by-Malware einzudämmen. Laut Dasient.com verfolgt das Unternehmen über 200.000 verschiedene webbasierte Malware-Bedrohungen.

Was ist Drive-by-Malware?

Ich habe bereits über diese Art von Malware geschrieben. Das Forschungspapier des Teams BLADE: Ein angriffsunabhängiger Ansatz zur Verhinderung von Drive-By-Malware-Infektionen (pdf) wies jedoch auf etwas hin, das mir nicht bekannt war:

"Das Ziel des Drive-by-Exploits besteht darin, den Client-Webbrowser effektiv und vorübergehend zu steuern, um ihn zum Abrufen, Speichern und Ausführen einer binären Anwendung (z. B. .exe, .dll, .msi, ) zu zwingen. .sys), ohne dem menschlichen Benutzer mitzuteilen, dass diese Aktionen stattgefunden haben. "

Der Teil, in dem Drive-by-Malware ein vorübergehender Kanal ist, um die gewünschte Malware auf den Computer zu laden, war für mich neu. Schauen wir uns an, wie die Forscher glauben, dass der Prozess funktioniert.

Der Prozess

Alles beginnt, wenn ein unglückliches Opfer auf eine kompromittierte offizielle Website stößt oder möglicherweise eine offizielle Website abbricht, die Drive-by-Malware bereitstellt. Als nächstes beginnt der Code-Injection-Prozess und besteht aus den folgenden drei Phasen:

  • Shellcode-Injection-Phase : Code, der den Webbrowser untergraben soll, wird heruntergeladen, indem eine anfällige Komponente des Webbrowsers ausgenutzt wird.
  • Shellcode-Ausführungsphase : Der heruntergeladene Code wird dann in den Webbrowser-Prozess eingefügt .
  • Verdeckte binäre Installationsphase : Der jetzt kompromittierte Webbrowser versucht, Malware vom Webserver des Angreifers abzurufen. Dieser Code wird auf dem Computer des Opfers installiert und verursacht den gesamten Schaden, von dem wir hören.

Die Forscher stellten außerdem fest, dass Drive-by-Malware die Notwendigkeit einer Benutzerberechtigung zum Herunterladen und Ausführen nicht unterstützter Dateitypen wie .exe, .dll und .sys irgendwie vermeidet. Mit diesen Informationen entwickelte das Forschungsteam BLADE.

Die Designkriterien von BLADE

BLADE ist eine browserunabhängige Kernel-Erweiterung für Betriebssysteme, die die Ausführung nicht autorisierter Inhalte verhindert. Ich interpretiere das so, dass BLADE alle heruntergeladenen Inhalte abfängt, die vom Benutzer nicht genehmigt wurden, und deren Ausführung verhindert.

Um dies zu erreichen, hat das Forschungsteam Folgendes in BLADE implementiert:

  • Erfassung und Interpretation von Benutzerberechtigungen in Echtzeit: Der Schlüssel für die ordnungsgemäße Funktion von BLADE, die Interaktion zwischen Benutzer und Browser, wird überwacht, um Informationen zu einem Benutzer zu erfassen, der einen Download autorisiert.
  • Robuste Korrelation zwischen Autorisierung und Download-Inhalten : BLADE muss in der Lage sein, zwischen vom Benutzer initiierten und nicht autorisierten Webbrowser-Downloads zu unterscheiden.
  • Strenge Durchsetzung der Ausführungsverhütung : Nicht autorisierte Inhalte dürfen nicht ausgeführt werden.
  • Browserunabhängige Durchsetzung : BLADE darf sich nicht darauf verlassen, wie ein Webbrowser funktionieren soll. Dies ist wichtig, da ständig neue Webbrowser-Technologien eingeführt werden.
  • Unabhängigkeit von Exploit und Ausweichen : BLADE muss auch unabhängig von Exploits sein, mit denen Angreifer den Webbrowser untergraben.
  • Effiziente und nutzbare Systemleistung : Die Leistung des Webbrowsers darf weder beeinträchtigt noch Verzögerungen zugelassen werden. Tatsächlich sollte BLADE keinen spürbaren Einfluss auf den Computerbetrieb haben.

Wie BLADE funktioniert

Um unerwünschte Downloadversuche zu erkennen, platziert BLADE die folgenden Prozesse im Kernelbereich:

  • Verfolgung von Benutzerinteraktionen : BLADE verwendet einen Bildschirmparser, einen Hardware-Ereignis-Tracer und einen Supervisor, um die physischen Interaktionen des Benutzers mit dem Webbrowser zu verfolgen, insbesondere wenn eine Download-Autorisierung angefordert wird.
  • Zustimmungskorrelation : Dieser Prozess wird von BLADE benötigt, um zwischen transparenten Downloads und solchen zu unterscheiden, für die eine Benutzerberechtigung erforderlich ist.
  • Festplatten-E / A-Umleitung : Wenn BLADE nicht autorisierte Downloads findet, wird der Code in eine sichere Zone umgeleitet. Es wird auch verhindert, dass die Daten als ausführbare Datei in den Speicher geladen werden.

Die folgende Folie (mit freundlicher Genehmigung des Forschungsteams) zeigt die Systemarchitektur von BLADE.

Der Hauptbestandteil von BLADE ist die Fähigkeit zu erkennen, ob der Download autorisiert ist oder nicht. Wie das gemacht wird, basiert auf einer anderen Tatsache, die ich nicht über Webbrowser wusste.

Das Forschungsteam hat festgestellt, dass Webbrowser einen genau definierten Prozess verwenden, um Download-Bestätigungen zu implementieren. Das bedeutet, dass eine Anwendung wie BLADE, die speziell nach Download-Berechtigungen sucht, nur einige Beispiele aus den verschiedenen Webbrowsern benötigt, um die meisten Download-Autorisierungsversuche zu erkennen.

Auf der folgenden Folie (mit freundlicher Genehmigung des Forschungsteams) wird erläutert, wie BLADE die Autorisierung überprüft:

Eine eingehende Analyse der einzelnen Komponenten finden Sie in der Arbeit des Forschungsteams.

Wie effektiv ist BLADE?

BLADE wurde unter realen Umständen getestet, wie im folgenden Zitat erläutert:

"Unser Testbed sammelt täglich automatisch Malware-URLs aus mehreren Whitehat-Quellen und bewertet BLADE anhand potenzieller Drive-by-URLs, die innerhalb der letzten 48 Stunden gemeldet wurden. Um den Browser von BLADE zu validieren und die Unabhängigkeit auszunutzen, wird jede URL anhand mehrerer Softwarekonfigurationen getestet verschiedene Browserversionen und gängige Plug-Ins. Systemaufrufe und Netzwerkspuren werden verwendet, um auf verpasste Angriffe (falsche Negative) zu testen. "

Das Forschungsteam hat eine Webseite mit den Ergebnissen ihrer Bewertung. Interessanterweise scheinen ihre Daten zu bestätigen, was andere Sicherheitsexperten zu Adobe-Produkten gesagt haben:

Laut dem Forschungsbericht haben fast 19.000 Studien mit null falsch positiven und null falsch negativen Ergebnissen stattgefunden. Das heißt, BLADE hat in jedem Fall die Installation von Drive-by-Malware in freier Wildbahn verhindert.

Kein Allheilmittel

BLADE wurde entwickelt, um Drive-by-Malware zu blockieren, die versucht, auf die Festplatte zu schreiben. Im Moment funktioniert das, da die Mehrheit der Drive-by-Malware diesen Ansatz verwendet. Sicherheitsexperten sind sich jedoch bestimmter Bedrohungen bewusst, die sich nur im Speicher befinden, und BLADE erkennt sie nicht.

Dann gibt es Malware, die mithilfe von Social Engineering installiert wird. BLADE hilft nicht weiter, da der Benutzer dem Download bereitwillig zustimmt.

Schließlich haben Entwickler Bedenken geäußert, dass BLADE legitime Anwendungen wie Windows Update beschädigen könnte, die Software im Hintergrund herunterladen.

Abschließende Gedanken

Die Arbeit des Forschungsteams zeigt einmal mehr, wie wichtig es ist, das Betriebssystem und alle Anwendungen (insbesondere Adobe-Produkte) auf dem neuesten Stand zu halten. Ohne Sicherheitslücken kann Drive-by-Malware nicht Fuß fassen.

Ich habe darauf hingewiesen, dass BLADE nicht jedes Problem lösen wird, aber es verspricht, ein gutes Werkzeug in unserem Sicherheitsarsenal zu sein. Wenn Sie interessiert sind, besuchen Sie die BLADE-Defender.org-Website erneut, da BLADE V1.0 (ein kostenloser Forschungsprototyp) in Kürze verfügbar sein wird.

© Copyright 2020 | mobilegn.com