Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Know Thy Limits                    Возможности систем обнаружения веб-сайтов,                       реализующих атаки Driv...
Контекст          •         Ненаправленные атаки vs направленные атаки          •         Атаки класса Drive-by-Download  ...
Задача обнаружения DbD           •        Установить факт проведения сайтом атаки Drive-by           •        Кому интерес...
Цель и постановка задачи           •        Исследование ограничений средств обнаружения                    вредоносных са...
Методы противодействия          •         Фильтрация HTTP-запросов          •         Цель: не допустить на сайт “светозар...
Методы противодействия          •         Фингерпринтинг поведения          •         Цель: не допустить на сайт нечеловек...
Методы противодействия          •         Фингерпринтинг ПО          •         Цель: не допустить клиентов, не подверженны...
Методы противодействия          •         Обфускация и привязка кода к окружению          •         Цель: затруднить оффла...
Результаты          •         Среда для генерации страниц, реализующих “обвязку”                    для атаки Drive-by-Dow...
Спасибо за внимание                    •   Email: petand@lvk.cs.msu.su                    •   Web log: http://andrepetukho...
Upcoming SlideShare
Loading in …5
×

Know Thy Limits или возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download

5,671 views

Published on

Исследуется эффективность средств обнаружения веб-сайтов, реализующих атаки Drive-by-Download - одного из самых распространенных способов доставки вредоносного программного обеспечения на компьютеры пользователей.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Know Thy Limits или возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download

  1. 1. Know Thy Limits Возможности систем обнаружения веб-сайтов, реализующих атаки Drive-by-Download Андрей Петухов, Александр Раздобаров факультет ВМиК МГУ им. ЛомоносоваFriday, March 30,
  2. 2. Контекст • Ненаправленные атаки vs направленные атаки • Атаки класса Drive-by-Download • Задачи злоумышленника ✓ максимизировать поток посетителей на сайт ✓ максимизировать “пробив” ✓ максимизировать время жизни сайта (или ВПО на сайте)Friday, March 30,
  3. 3. Задача обнаружения DbD • Установить факт проведения сайтом атаки Drive-by • Кому интересно? ✓ поставщикам решений по End-point защите ✓ поисковым системам ✓ владельцам сайтов • Вопрос: насколько хорошо они это делают? • Вопрос: насколько просто им противодействовать? • Мотивация: заявления об эффективности wepawetFriday, March 30,
  4. 4. Цель и постановка задачи • Исследование ограничений средств обнаружения вредоносных сайтов, реализующих атаки DbD • Предположения: ✓ эксплойт, реализующий атаку, не поддается обнаружению методами статического сигнатурного анализа большинством АВ ✓ атаки обнаруживается какими-то АВ методами динамического анализа - часть посетителей сайта с АВ не подвержены атаке - злоумышленник ведет борьбу за остальных посетителей сайта, уязвимых к атаке ✓ ВПО и распространяющий его код реализуют методы противодействия обнаружениюFriday, March 30,
  5. 5. Методы противодействия • Фильтрация HTTP-запросов • Цель: не допустить на сайт “светозарных джеддаев” • Методы ✓ по IP (условно и безусловно, incl. Tor Exit Nodes, проверка адреса DNS-сервера) ✓ по заголовку HTTP referrer ✓ по HTTP-cookie, flash cookie ✓ по заголовкам управления кешированием (ETag/If-Match, Expires/If-Modified- Since) ✓ локальное хранилище в браузере (localStorage)Friday, March 30,
  6. 6. Методы противодействия • Фингерпринтинг поведения • Цель: не допустить на сайт нечеловеков • CAPTCHA не предлагать! • Методы ✓ отлов DOM-событий из JavaScript (особенно, возникающих при визуализации) ✓ всплывающая реклама ✓ CSS history hack ✓ закачка ресурсов (связанные картинки, тот же favicon.ico, css, js)Friday, March 30,
  7. 7. Методы противодействия • Фингерпринтинг ПО • Цель: не допустить клиентов, не подверженных атаке • Методы ✓ определение типа по различию в интерпертации Javascript ✓ определение версии по поддержке HTML5, CSS3 ✓ если не коррелирует с UA - от ворот поворот! ✓ еще больше можно получить из flash и java-апплетовFriday, March 30,
  8. 8. Методы противодействия • Обфускация и привязка кода к окружению • Цель: затруднить оффлайн анализ Javascript-кода • Методы ✓ обфускация (jjencode) ✓ шифрование, ключом которого является переменная браузера, зависящая от окружения (document.location, document.referer, cookie, заголовки от сервера) ✓ $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({} +"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"") [$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$. $_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($. $=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+ (!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"""+$.Friday, March 30,
  9. 9. Результаты • Среда для генерации страниц, реализующих “обвязку” для атаки Drive-by-Download ✓ среда реализована на Node.JS + MongoDB • Ни одна из протестированных систем обнаружения вредоносных сайтов не дошла до атаки (FAIL!) ✓ нам даже не пришлось включать фильтрацию по IP ✓ самый “отсеивающий” метод противодействия - фингерпринтинг поведения • Готовы протестировать вашу систему (NDA included!)Friday, March 30,
  10. 10. Спасибо за внимание • Email: petand@lvk.cs.msu.su • Web log: http://andrepetukhov.wordpress.com/ • Tel: +7 (495) 932-88-58Friday, March 30,

×