BLADE: Kan det stoppe drive-by malware?

Akkurat nå er det en overflod av nettsteder som serverer skadelig programvare til intetanende besøkende med suksess. Er det en kur? Noen forskere tror det.

-------------------------------------------------- -----------------------------------

BLADE ( BL ock A ll D rive-by download E xploits), hjernen til forskere fra College of Computing ved Georgia Institute of Technology og SRI International, er posisjonert for å bidra til å hindre tidevannet av drive-by malware. Ifølge Dasient.com sporer selskapet over 200 tusen forskjellige webbaserte trusler mot skadelig programvare.

Hva er drive-by malware?

Jeg har skrevet om denne typen skadelig programvare før. Men teamets forskningsoppgave BLADE: En angrep-agnostisk tilnærming for å forhindre Drive-By Malware-infeksjoner (pdf) påpekte noe jeg ikke var klar over:

"Målet med drive-by exploit er å ta effektiv, midlertidig kontroll av klientens nettleser med det formål å tvinge den til å hente, lagre og deretter utføre en binær applikasjon (f.eks. .Exe, .dll, .msi, .sys) uten å avsløre for den menneskelige brukeren at disse handlingene har funnet sted. "

Delen om drive-by malware er en midlertidig kanal for å få ønsket malware lastet inn på datamaskinen var ny for meg. La oss se på hvordan forskerne tror prosessen fungerer.

Prosessen

Det hele starter når et ulykkelig offer snubler over et kompromittert offisielt nettsted eller muligens en knock off av et offisielt nettsted som serverer drive-by malware. Deretter begynner kodeinjeksjonsprosessen og består av følgende tre faser:

  • Shellcode-injeksjonsfase : Kode som er ment å undergrave nettleseren lastes ned ved å utnytte en sårbar komponent i nettleseren.
  • Utførelsesfase for Shellcode : Den nedlastede koden injiseres deretter i nettleserprosessen.
  • Skjult binær installasjonsfase : Nettleseren, nå kompromittert, prøver å hente malware fra angriperens webserver. Den koden installeres på offerets datamaskin og gjør alle skadene vi hører om.

Forskerne bestemte også at drive-by malware på en eller annen måte unngår behovet for brukertillatelse for å laste ned og utføre ikke-støttet filtype som .exe, .dll og .sys. Med denne informasjonen i hånden utviklet forskerteamet BLADE.

BLADEs designkriterier

BLADE en nettleseruavhengig operativsystemkjerneutvidelse designet for å forhindre utføring av uautorisert innhold. Jeg tolker det slik at BLADE avskjærer alt nedlastet innhold som ikke har blitt i orden av brukeren og forhindrer det i å utføre.

For å oppnå det, implementerte forskerteamet følgende i BLADE:

  • Innhenting og tolkning av brukerautorisasjoner i sanntid : Nøkkelen til at BLADE fungerer ordentlig, bruker-til-nettleserinteraksjon overvåkes for å fange opp informasjon knyttet til en bruker som autoriserer en nedlasting.
  • Robust korrelasjon mellom autorisasjon og nedlastingsinnhold : BLADE må kunne skille mellom brukerinitierte nedlastinger av nettleseren og uautoriserte.
  • Streng håndhevelse av utførelsesforebygging : Uautorisert innhold må ikke tillates å utføre.
  • Agnostisk håndhevelse av nettleser : BLADE må ikke stole på hvordan en nettleser skal fungere. Dette er avgjørende, fordi ny nettleserteknologi introduseres hele tiden.
  • Uavhengig av utnyttelse og unndragelse : BLADE må også være uavhengig av enhver utnyttelse som angripere bruker for å undergrave nettleseren.
  • Effektiv og brukbar systemytelse : Nettleserens ytelse må ikke bli kompromittert, og heller ikke tillatte forsinkelser. Faktisk bør BLADE ikke ha en merkbar innvirkning på datamaskinens drift.

Slik fungerer BLADE

For å oppdage uønskede nedlastningsforsøk, plasserer BLADE følgende prosesser i kjerneområdet,

  • Bruker-interaksjonssporing : BLADE bruker en skjermdeler, en maskinvarehendelsespor og en veileder for å spore brukerens fysiske interaksjoner med nettleseren, spesielt når nedlastingsautorisering blir bedt om.
  • Samtykkekorrelasjon : Denne prosessen kreves av BLADE for å skille mellom gjennomsiktige nedlastinger og de som krever brukertillatelse.
  • Disk I / O-viderekobling : Når BLADE lokaliserer uautoriserte nedlastinger, omdirigerer den koden til en sikker sone. Dataene forhindres også i å laste inn i minnet som en kjørbar.

Følgende lysbilde (med tillatelse fra forskerteamet) representerer BLADEs systemarkitektur.

Den viktigste ingrediensen som gjør at BLADE fungerer er dens evne til å skjelne om nedlastingen er autorisert eller ikke. Hvordan det gjøres er basert på et annet faktum som jeg ikke visste om nettlesere.

Det forskerteamet har funnet er at nettlesere bruker en veldefinert prosess for å implementere nedlastingsbekreftelser. Det betyr at en applikasjon som BLADE, som ser spesielt etter nedlastingsautorisasjoner, bare trenger noen få eksempler fra den forskjellige nettleseren for å gjenkjenne de fleste nedlastingsautorisasjonsforsøk.

Følgende lysbilde (med tillatelse av forskerteamet) forklarer hvordan BLADE sjekker for autorisasjon:

For en grundig analyse av hver komponent, vennligst referer til forskerteamets papir.

Hvor effektiv er BLADE?

BLADE ble testet under virkelige omstendigheter, slik følgende sitat forklarer:

"Vår testbed høster automatisk malware-URL-adresser fra flere kilder til whitehat på daglig basis og evaluerer BLADE mot potensielle drive-by-nettadresser som ble rapportert i løpet av de siste 48 timene. For å validere BLADEs nettleser og utnytte uavhengighet, testes hver URL mot flere programvarekonfigurasjoner som dekker forskjellige nettleserversjoner og vanlige plugins. Systemoppringing og nettverksspor brukes til å teste for tapte angrep (falske negativer). "

Forskerteamet har en webside som inneholder resultatene av evalueringen. Interessant nok ser dataene ut til å bekrefte hva andre sikkerhetseksperter har sagt om Adobe-produkter:

I følge forskningsoppgaven har nesten 19 000 forsøk funnet sted, med null falske positive og null falske negativer. Dette betyr at BLADE forhindret installasjon av skadelig programvare fra i naturen i alle tilfeller.

Ikke en kur-alle

BLADE er designet for å blokkere drive-by malware som prøver å skrive til harddisken. Akkurat nå fungerer det, som et flertall av drive-by malware bruker denne tilnærmingen. Men sikkerhetseksperter er klar over visse trusler som bare ligger i minnet, og BLADE vil ikke gjenkjenne dem.

Så er det malware som installeres ved å utnytte sosial ingeniørarbeid. BLADE hjelper ikke, ettersom brukeren villig til å akseptere nedlastingen.

Endelig har utviklere uttrykt bekymring for at BLADE kan bryte legitime applikasjoner som Windows Update som laster ned programvare i bakgrunnen.

Siste tanker

Forskningsteamets arbeid påpeker nok en gang hvor viktig det er å holde operativsystemet og alle applikasjoner (spesielt Adobe-produkter) oppdatert. Uten sårbarheter kan ikke drive-by malware få fotfeste.

Jeg påpekte at BLADE ikke vil løse alle problemer, men det har lovet å være et godt verktøy i sikkerhetsarsenal. Hvis du er interessert, kan du gå tilbake til nettstedet BLADE-Defender.org, da BLADE V1.0 (en gratis forskningsprototype) vil være tilgjengelig snart.

© Copyright 2021 | pepebotifarra.com