【原创翻译,版权所有,合作网站如欲转载,请注明原创翻译作者,及文章出处(赛迪网)。谢绝非合作网站转载,违者,赛迪网将保留追究其法律责任的权利!】
面对层出不穷的浏览器漏洞以及针对这些漏洞开发的各种基于Web的恶意攻击,正在波士顿召开的Usenix安全研讨会对这一问题进行了广泛讨论,与会安全专家就此提出了一种新的基于执行的恶意软件检测技术。
毕业于华盛顿大学的Alexander Moshchuk领导了一个研究小组,对这种技术进行了证明,并开发了一个检测工具来过滤恶意程序。专家认为“虚拟沙盒”是一种非常有效的检测Web应用可疑行为的检测方法,能够在危险降临用户终端浏览器之前将其发现。
随着各种黑客攻击、0-day威胁的增长,以及攻击复杂性的加强,专家们已经不太看好基于特征的反病毒检测技术,认为其不足以应付各种各样的网络攻击。因此,出现了一些新的终端防护技术,以免用户终端遭受未知漏洞攻击。虚拟技术是被许多专家看好的解决这一问题的技术,Moshchuk利用该技术在华盛顿大学研发了一个检测工具,名叫SpyProxy。其有如一台虚拟机一样坐落在用户终端浏览器和Web站点之间,下载并检测用户访问的Web应用,以防御潜在的攻击。专家称在秒量级时间内,SpyProxy就可以有效地对各种类型的网页或应用进行检测分析,来确定该网页是否包含各种威胁。Moshchuk是这样说的:“SpyProxy还有一些不足之处,但毫无疑问,它是互联网安全武器库中的一个有效的新武器,其以低廉花费解决了现实存在的0-day问题,并实实在在地让Web浏览更加安全。”
假如将整个2006年微软IE漏洞从被发现到发布更新补丁所经历的时间全部加起来的话,总量达到了9个月,也就是说对于恶意代码攻击者来说,他们有9个月的时间来对终端用户实施攻击。同时Moshchuk还发现,某些特殊的商业用户甚至给攻击者留下的时间更长。
基于执行的恶意软件行为检测技术对于大多数交互式攻击还能应付,但对一些高级的攻击形式就无效了,例如所谓的跨平台脚本(XSS)欺骗。而SpyProxy通过创建一个虚拟机,镜像一个看起来跟用户正在使用的一模一样的浏览器,并对用户访问的网页或应用进行检测看起是否包含攻击代码。虽然这个过程会延迟一些网络浏览时间,每个URL在不改变状态的情况下需要3秒钟,但专家坚持认为,目前来讲用这点时间来换取解决0-day攻击和各中威胁是值得的,终端用户也是接受的。
华盛顿大学的研究小组对大约2000个网站的124个独立URL进行了测试,研究人员发现了27个交互式浏览器攻击,并发现73%的下载含有恶意代码、广告软件以及其他不需要的程序。研究小组称,SpyProxy能够发现并阻止所有威胁。说到SpyProxy的适应性,其本来是针对工作站集群的多用户设计的,并且计划免费发布。根据Moshchuk的说法,单CPU设备一天可以处理将近82,000的页面,他预计在这种情况下,每台设备大约可以覆盖800个用户的请求。在小型企业中用一台四核的设备就可以防护几千用户。
但研究人员也称SpyProxy还有不足之处。其一就是它对诸如文本等静态页面的处理效率很高,对于动态生成的应用页面检测还有待提高。另一个不足之处其还不能很好地判断一个网页或应用何时已经全部载入完成,何时可以将内容传给最终用户,对于这一点要小心行事。但是在未改变状态的情况下,该工具会对已经通过检测的页面减少扫描以加快效率,当然这是在先前下载的页面没有变化的情况下。根据Moshchuk的说法,如果不加限制或只允许静态页面通过,SpyProxy需要的检测时间就能够降到600毫秒。另一种提高该工具执行效率的方法将整个处理过程分成几个处理单元,每个单元负责一部本网页。
Moshchuk还称华盛顿大学研究小组希望其他研究人员能够使用这种动态检测技术来处理恶意软件,同时承诺将会继续对此开展研究并不断提高SpyProxy的性能。Moshchuk说:“我们不是要研发一个完美安全工具,而是希望能够深入研究该项技术。但是我们希望在不影响大家的情况下,能够开始使用该工具以支持我们的研究。”(责任编辑:李磊)
