1、一種在瀏覽器端偵測並阻擋網頁惡意程式的解決方案A BROWSER-SIDE SOLUTION TO DRIVE-BY-DOWNLOAD-BASED MALICIOUS WEB PAGES左昌國 陳世仁 許富皓國立中央大學資訊工程學系先進防禦實驗室資訊安全通訊卷期指導教授:葉禾田教授報告人:李冠毅M99F0206前言 根據 X-Force 在 2008 年的年度研究報告指出 1,在所有的弱點類型當中,有超過 54%的弱點數量與網站應用程式有關。 資料隱碼攻擊 (SQL injection)(在網站應用程式弱點分類當中將近 40%)已經取代了跨站腳本攻擊 (Cross-Site Scripting
2、)成為 2008 年最嚴重的網站威脅。前言跨站腳本攻擊通常用來取得受害者對於某個網站的cookie 並且利用這個 cookie 來偷走受害者的帳號。資料隱碼攻擊能夠讓攻擊者在所有瀏覽該伺服器的訪客電腦中遠端執行惡意程式碼,取得受害者電腦的權限並且下載執行惡意程式。DRIVE-BY DOWNLOADSDRIVE-BY DOWNLOADSDRIVE-BY DOWNLOADS 攻擊者先利用正常網頁伺服器的漏洞進行攻擊 (如資料隱碼攻擊 )來取得伺服器或是修改網頁的權限。 在伺服器上的網頁加入一小段 HTML 程式碼,這段程式碼會讓訪客的瀏覽器自行去攻擊者的伺服器下載含有攻擊程式碼與遠端執行程式碼的網
3、頁或是腳本檔案。圖:攻擊 者插入正常網頁的轉向 HTML原始碼範例DRIVE-BY DOWNLOADS 遠端執行程式碼會去攻擊者的其他網站下載惡意程式回來,並且執行惡意程式。為了確保惡意程式的隱性,通常會先下載的惡意程式會是 木馬下載器(Trojan Downloader)。 一旦成功執行木馬下載器,遠端執行程式會嘗試去回復原本瀏覽的網頁,並且結束遠端執行程式碼。而執行成功的木馬下載器則會去其他地方下載惡意程式 (如隱程式等 )。INTERNET EXPLORER的一般執行流程應用程式介面 (API) Internet Explorer 在瀏覽網頁的時候,是把網頁上的所有元件,包含網頁原始碼、腳本文件、層疊樣式表(Cascading Style Sheets,簡稱 CSS)、以及多媒體檔案等等,都先下載到本地端,再分別去解譯或是執行。而使用者主動下載的檔案也是透過這個分類去達成。一般檔案下載流程
