基于浏览器的网络攻击如何防御

基于浏览器的网络威胁已经成为当今网络安全专业人士面临的最大问题之一。对于组织来说，有效保护这些不可检测的攻击至关重要。

浏览器最暴露在所有使用的软件中。他们不断与外界联系，经常与网络犯罪分子感染恶意软件的网站和应用程序互动。浏览器是一种功能强大、数据丰富的工具。如果受到攻击，它可以为攻击者提供大量关于您的信息，包括您的个人地址、电话号码、信用卡数据和电子邮件，ID，浏览历史记录、书签等密码。

浏览器也是网络犯罪分子在您的设备、个人网络和业务系统中建立立足点的理想工具。浏览器依赖于许多第三方插件(例如JavaScript，Flash和ActiveX)执行各种任务。然而，这些插件通常有安全漏洞，网络犯罪分子利用这些漏洞访问您的系统。这些漏洞允许攻击者通过安装勒索软件、泄露数据和窃取知识产权造成严重损害。

在过去的一年里，我们看到网络威胁急剧增加，专门用于利用基于浏览器的漏洞。这种受欢迎程度的提高不仅是因为浏览器是战略上理想的黑客攻击目标，而且因为很难检测到基于浏览器的目标Web威胁。大多数恶意软件检测和保护技术都是通过检查下载或附件来工作的。然而，基于浏览器的威胁并不一定使用文件，因此传统的安全控制不需要分析。基于浏览器的攻击可能不会被发现，除非组织实施不依赖于分析文件的先进工具。

鉴于基于浏览器的攻击功能强大且难以发现，很容易理解为什么它们如此突出。他们只是在工作。

如何操作基于浏览器的网络威胁

以浏览器攻击为例，请考虑一下Windows用户访问似乎是良性的，但现在是恶意个恶意的网站，这可能是他或她以前访问过的网站或有吸引力的电子邮件的结果。一旦连接，用户的浏览器就开始与网站互动。假设系统使用它JavaScript，根据像WebTechnologySurveys94%的网站都有这样的研究公司，90%以上的浏览器都启用了，浏览器会立即从恶意网站下载并执行JavaScript文件。

该JavaScript它可以包含恶意代码，可以捕获受害者的数据，改变它，并向它们注入新的或不同的数据Web所有的背景和应用程序对用户来说都是看不见的。例如，恶意软件作者实现这一目标的一种方法是JavaScript混淆中嵌入AdobeFlash文件。Flash经常被使用，因为它看似永无止境的漏洞。以下是典型情况的代表：

Flash代码调用PowerShell，这是一个强大的功能OS每台工具都可以执行管理操作Windows机器上。

Flash通过它的命令行界面PowerShell提供指令。

PowerShell连接到攻击者拥有的隐藏命令和控制服务器。

恶意命令和控制服务器PowerShell将脚本下载到受害者的设备上，捕获或搜索敏感数据并将其发送回攻击者。

攻击者达到目标后，JavaScript，Flash和PowerShell脚本将从内存中删除，基本上没有违规记录。

打击基于浏览器的网络威胁

大多数恶意软件检测系统通过验证链接的声誉或安全性，以及评估已知威胁的附件和下载文件来工作。在这里描述的基于浏览器的攻击中，安全系统可能没有链接或文件进行分析，因此传统的反恶意软件技术通常是无效的。然而，仍有一些方法可以抵抗基于浏览器的攻击。即使没有文件，也可以评估最新和最先进的恶意软件检测技术JavaScript和Flash数据。从设备内存中提取这些创新工具JavaScript和Flash检查静态和动态异常，如：

(1)静态–结构异常

• 数组或字符串中存在异常shellcode

• 缺少或添加细分

• 嵌入文件

• 可疑函数参数

• 代码注入的证据，如隐藏证据iframe或异常标记

• 代码混淆的迹象，如代码，或特定的JavaScript加密或指纹识别等函数

• 利用的迹象–结构相似，签名

(2)动态–行为异常

• 行为异常–代码可能不会丢弃文件，但可能会导致网络连接异常，或试图启动异常过程

• 通过利用浏览器漏洞将代码插入预定位置

• 尝试修改系统文件或组件

• 连接已知的恶意站点或命令和控制中心

• 拖延等逃避战术

尽管通过分析组织员工遇到的每一点JavaScript和Flash当然，上面列出的所有可能的异常都可以找到，但这是不现实的。对每个例子进行全面测试至少需要60秒或更长时间的行为分析。鉴于典型公司的员工每天都会遇到大量的员工JavaScript和Flash，因此，全面分析所有员工的行为是不可行的。

基于浏览器的威胁可以评估过滤方法

良好的恶意软件检测引擎可以分阶段评估代码，而不是让每个人JavaScript所有的例子都进行了完整的静态和动态分析。在初始阶段，发动机只执行静态分析，而无需执行代码。由于恶意软件检测系统可以实时执行此操作，因此可以在此级别进行评估JavaScript和Flash内容。通过此过滤器的大部分代码将在正常运行期间成功执行，无需进行其他测试。

在恶意软件检测引擎在初始静态分析阶段遇到异常的情况下，它可以更密切地检查代码。最严格和耗时的测试只需要在以前所有测试都表明存在大量恶意软件风险的罕见情况下进行。例如，静态分析可能会识别可能是恶意的功能，例如数据加密。可以加密数据的代码可能是勒索软件。在这种情况下，系统还将执行动态分析，以确定代码是否确实是恶意行为，或者是否以良性和适当的方式使用加密功能。

静态分析可以有效地检测各种异常，如异常宏、丢失或添加的结构或部分、与网络犯罪分子使用的命令和控制服务器相对应等。其中一些功能非常恶意，系统可以立即将对象评为高风险。如果有任何问题，系统还将执行动态分析来测试代码执行时的实际操作。

如果静态分析没有发现任何可疑之处，系统可以将对象高精度评分为低风险，绕过动态分析。

通过使用这种分阶段的方法，系统可以完全测试所有可疑对象，从根本上消除误报。结合动态分析在必要时获得的效率，测试一切JavaScript和Flash恶意软件是否存在文件变得可行。

恶意软件不断发展，我们必须这样做

网络犯罪分子一直在努力寻找一种新的、更有效的方法来渗透我们的计算机、设备和网络。基于浏览器的网络威胁最近的演变是一个难以检测和有效的恶意新技术的尖锐例子。

由于传统的反恶意软件产品几乎不可能有效地评估所有JavaScript与基于浏览器的对象相似，企业通常容易受到这些新威胁的攻击。为了有效地保护自己，组织还必须不断开发和升级其威胁防御工具，以应对恶意软件的最新变化。一种方法是实现过滤方法，实时评估所有代码，并使用完整的动态分析来测试可疑代码。

推荐微云网络进行网络攻击Web防火墙(云WAF），基于AI一站式发动机Web业务运营风险防护方案，帮助用户应对网站入侵、漏洞利用、挂马、篡改、后门、爬虫Bot，组织网站和域名劫持等安全问题Web业务安全运行护航。详情请咨询微云网络客服400-0289-798。