Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Know Thy Limits                    Возможности систем обнаружения веб-сайтов,                       реализующих атаки Driv...
Контекст          •         Ненаправленные атаки vs направленные атаки          •         Атаки класса Drive-by-Download  ...
Задача обнаружения DbD           •        Установить факт проведения сайтом атаки Drive-by           •        Кому интерес...
Цель и постановка задачи           •        Исследование ограничений средств обнаружения                    вредоносных са...
Методы противодействия          •         Фильтрация HTTP-запросов          •         Цель: не допустить на сайт “светозар...
Методы противодействия          •         Фингерпринтинг поведения          •         Цель: не допустить на сайт нечеловек...
Методы противодействия          •         Фингерпринтинг ПО          •         Цель: не допустить клиентов, не подверженны...
Методы противодействия          •         Обфускация и привязка кода к окружению          •         Цель: затруднить оффла...
Результаты          •         Среда для генерации страниц, реализующих “обвязку”                    для атаки Drive-by-Dow...
Спасибо за внимание                    •   Email: petand@lvk.cs.msu.su                    •   Web log: http://andrepetukho...
Próxima SlideShare
Cargando en…5
×

Know Thy Limits или возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download

5.698 visualizaciones

Publicado el

Исследуется эффективность средств обнаружения веб-сайтов, реализующих атаки Drive-by-Download - одного из самых распространенных способов доставки вредоносного программного обеспечения на компьютеры пользователей.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Know Thy Limits или возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download

  1. 1. Know Thy Limits Возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download Андрей Петухов, Александр Раздобаров факультет ВМиК МГУ им. ЛомоносоваFriday, March 30,
  2. 2. Контекст • Ненаправленные атаки vs направленные атаки • Атаки класса Drive-by-Download • Задачи злоумышленника ✓ максимизировать поток посетителей на сайт ✓ максимизировать “пробив” ✓ максимизировать время жизни сайта (или ВПО на сайте)Friday, March 30,
  3. 3. Задача обнаружения DbD • Установить факт проведения сайтом атаки Drive-by • Кому интересно? ✓ поставщикам решений по End-point защите ✓ поисковым системам ✓ владельцам сайтов • Вопрос: насколько хорошо они это делают? • Вопрос: насколько просто им противодействовать? • Мотивация: заявления об эффективности wepawetFriday, March 30,
  4. 4. Цель и постановка задачи • Исследование ограничений средств обнаружения вредоносных сайтов, реализующих атаки DbD • Предположения: ✓ эксплойт, реализующий атаку, не поддается обнаружению методами статического сигнатурного анализа большинством АВ ✓ атаки обнаруживается какими-то АВ методами динамического анализа - часть посетителей сайта с АВ не подвержены атаке - злоумышленник ведет борьбу за остальных посетителей сайта, уязвимых к атаке ✓ ВПО и распространяющий его код реализуют методы противодействия обнаружениюFriday, March 30,
  5. 5. Методы противодействия • Фильтрация HTTP-запросов • Цель: не допустить на сайт “светозарных джеддаев” • Методы ✓ по IP (условно и безусловно, incl. Tor Exit Nodes, проверка адреса DNS-сервера) ✓ по заголовку HTTP referrer ✓ по HTTP-cookie, flash cookie ✓ по заголовкам управления кешированием (ETag/If-Match, Expires/If-Modified- Since) ✓ локальное хранилище в браузере (localStorage)Friday, March 30,
  6. 6. Методы противодействия • Фингерпринтинг поведения • Цель: не допустить на сайт нечеловеков • CAPTCHA не предлагать! • Методы ✓ отлов DOM-событий из JavaScript (особенно, возникающих при визуализации) ✓ всплывающая реклама ✓ CSS history hack ✓ закачка ресурсов (связанные картинки, тот же favicon.ico, css, js)Friday, March 30,
  7. 7. Методы противодействия • Фингерпринтинг ПО • Цель: не допустить клиентов, не подверженных атаке • Методы ✓ определение типа по различию в интерпертации Javascript ✓ определение версии по поддержке HTML5, CSS3 ✓ если не коррелирует с UA - от ворот поворот! ✓ еще больше можно получить из flash и java-апплетовFriday, March 30,
  8. 8. Методы противодействия • Обфускация и привязка кода к окружению • Цель: затруднить оффлайн анализ Javascript-кода • Методы ✓ обфускация (jjencode) ✓ шифрование, ключом которого является переменная браузера, зависящая от окружения (document.location, document.referer, cookie, заголовки от сервера) ✓ $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({} +"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"") [$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$. $_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($. $=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+ (!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"""+$.Friday, March 30,
  9. 9. Результаты • Среда для генерации страниц, реализующих “обвязку” для атаки Drive-by-Download ✓ среда реализована на Node.JS + MongoDB • Ни одна из протестированных систем обнаружения вредоносных сайтов не дошла до атаки (FAIL!) ✓ нам даже не пришлось включать фильтрацию по IP ✓ самый “отсеивающий” метод противодействия - фингерпринтинг поведения • Готовы протестировать вашу систему (NDA included!)Friday, March 30,
  10. 10. Спасибо за внимание • Email: petand@lvk.cs.msu.su • Web log: http://andrepetukhov.wordpress.com/ • Tel: +7 (495) 932-88-58Friday, March 30,

×