林世飞-互联网企业应对恶意网址的思考-applelin

互联网企业应对恶意网站的思考安全中心

applelin目录形势概述与危害分析问题与难点分析互联网企业如何应对恶意网站腾讯产品安全现状与规划0.02%799769635%…形势概述与危害分析形势概述与危害分析利益驱动，恶意软件专业化，集团化通过第三方挂马，间接挂马方式流行第三方软件漏洞大量利用，0day频出，防不胜防针对诈骗问题，互联网企业很难独善其身形势概述与危害分析木马下载器大量传播，危害游戏产业帐号体系催生僵尸网络，DDOS攻击流行通过肉鸡进行点击欺诈，危害广告、搜索产业诈骗带来大量投诉，运营成本高，企业信誉受损电子商务，银行用户受损较大，用户流失问题与难点分析挂马网站用户木马服务器正常网站挂马网站危害用户过程分析:问题与难点分析未中毒，帐号未被盗未中毒，帐号已被盗已中毒，帐号未被盗已中毒，帐号已被盗斗争不可避免，需化被动为主动！不同时期打击成本金字塔:互联网企业如何应对恶意网站搜索Google，Yahoo搜索结果加入恶意评价

GoogleSafeBrowsingAPI提供恶意库浏览器IE、firefox等添加恶意检查特性安全浏览器：sandboxie、360安全浏览器安全厂商杀毒客服端，云安全IE插件，过滤防火墙评价体系McAfeeSiteAdvisor互联网企业如何应对恶意网站互联网公司需要面对的挂马威胁策略：办公网：不受渗透威胁建立认证web访问控制建立出口exe下载，url访问审计日志产品：不挂马传播渠道，保护帐号体系建立统一过滤库，定期更新各个产品联动，整体打击关键域名DNS解析情况实时监控第三方建立第三方登记和认证中心，进行检测拦截建立高效，完善应急处理体制，迅速响应互联网企业必须具备恶意网站检测发现能力互联网企业如何应对恶意网站剖析恶意代码攻击的几个特点：基础：必须利用ActiveX漏洞、逻辑漏洞、浏览器漏洞通道：通过DNS劫持，ARP欺骗，SQL注入挂马方式多样对抗：Web2.0技术普遍应用，自动检测困难对抗：代码混淆技术形式多样，查杀困难互联网企业如何应对恶意网站剖析恶意代码的代码混淆技术：变量：计算拼接，Unicode变量名函数：分块，重定义编码：base64、MD5、自定义

加密运行时修改：eval、window.exeScript、document.write条件激发：是否已中毒、IE版本是否符合、是否安装杀毒软件当代码和数据混在一起，问题变复杂了互联网企业如何应对恶意网站网页木马代码混淆技术对抗杀毒软件的实例一段利用InstallShield漏洞的网马混淆前，赛门铁克可以查杀混淆后，赛门铁克不能查杀互联网企业如何应对恶意网站检测恶意代码的常见方案：特征码：利用特征病毒库判断病毒的方式例子：JS.Dropper-33:3:200,30:756e6573636……行为监控：在虚拟机中访问网页，监控程序网络访问行为脚本解析：使用脚本引擎解析网页，获取最终执行代码互联网企业如何应对恶意网站一个利用虚拟机技术检测挂马页面例子，系统构成：运行环境Windowsvmware监控程序一个控制中心一个抓包程序一个调度程序Web前台控制输入查询结果DB存储输入url保存结果互联网企业如何应对恶意网站一个利用虚拟机技术检测挂马页面例子，工作流程互联网企业如何应对恶意网站一个利用虚拟机技术检测挂马页面例子，结果分析：机器运行时间（小时）扫描URL数（个）捕获可执行文件数（个）捕获cab压缩文件数（个）捕获其他文件数（个）扫描总文件数（个）有风险文件数（个）扫描效率（条/小时）A2536449333837122135415B4858660759168184035312C71767966454216940256011互联网企业如何应对恶意网站基于脚本解释引擎的挂马检测系统，引擎对比：测试环境：2GRAM，CPU3.0GHz*4。系统：32bitSuSE10+gcc4.1.2样本总计：63854个Js引擎性能稳定性扩展性tracemonkey

82.44%的页面能在15ms内处理完毕；91.11%的页面能在20ms内处理完毕

随机性的短代码（4~6行）来测试，连续测试10万次。内存占用较多

拥有比较灵活的api来控制js代码的执行时间以及垃圾收集频率，对于应用的稳定性有很大的作用GoogleV826.65%的页面能在20ms内处理完，71.06%的页面能在30ms内处理完引擎在多次连续执行的环境下会不稳定，在一定数目的样本执行之后抛出内存失败的异常退出参考文档有限互联网企业如何应对恶意网站需要面对的钓鱼威胁：技术创新安全需求：图章技术(sealin)，通道独立识别技术：过滤系统联动打击：各产品统一整体的打击体系体系完善预防：用户教育检测：建立客服投诉渠道，迅速响应屏蔽打击：法务打击互联网企业如何应对恶意网站针对第三方的问题的一个解决方案腾