如何防御基于瀏覽器的網絡攻擊
1.采用最新和最先進的惡意軟件檢測技術,評估JavaScript和Flash數據,從中提取內容,檢查靜態和動態異常
例如:
(1)靜態–結構異常
數組或字符串中存在不尋常的shellcode
缺少或添加細分
嵌入文件
可疑的函數參數
代碼注入的證據,如隱藏的iframe或異常標記
代碼混淆的跡象,例如編碼,或特定的JavaScript函數,如加密或指紋識別
利用的跡象–結構相似性,簽名
(2)動態–行為異常
異常進程行為–代碼可能不會丟棄文件但可能會導致網絡連接異常,或者嘗試啟動異常進程
通過利用瀏覽器漏洞將代碼插入預定位置
嘗試修改系統文件或組件
與已知惡意站點或命令和控制中心的連接
逃避戰術如拖延
此外,我們需要對每個實例進行全面測試,還需要進行一定程度的行為分析,用時60秒或更長時間。
2.采用合適的過濾方法,可以評估基于瀏覽器的威脅
通過過濾分階段評估代碼,無需進行其他測試。在惡意軟件檢測引擎在初始靜態分析階段遇到異常的情況下,它可以更密切地檢查代碼。通過使用這種分階段的方法,系統可以完全測試所有可疑對象,從根本上消除誤報。結合僅在必要時執行動態分析所獲得的效率,測試所有JavaScript和Flash文件是否存在惡意軟件變得可行。
3.不斷升級瀏覽器威脅防御工具,適應不斷變化的惡意軟件攻擊形式
由于傳統的反惡意軟件產品幾乎不可能有效地評估所有JavaScript和類似的基于瀏覽器的對象,因此企業通常容易受到這些新威脅的攻擊。為了有效地保護自己,組織還必須不斷發展并不斷升級其威脅防御工具,以應對惡意軟件的最新變化。一種方法是實現過濾方法,實時評估所有代碼,并使用完整的動態分析測試可疑代碼。
