在浏览器中停止人

  • 时间:
  • 浏览:31
  • 来源:it300
在浏览器中停止人

在我之前的专栏中,我看了一下恶意软件用于欺诈的最常用策略之一 - 浏览器中的人。作为一个快速回顾,浏览器中的人(MitB)恶意软件通过感染最终用户并注入在受害者的浏览器中静默运行的恶意代码来工作。这允许恶意软件不仅控制用户在浏览器中看到的内容,而且还在浏览器中采取看似来自用户的操作。

例如,假设您已被MitB感染恶意软件。下次您登录银行时,恶意软件可以默默地从您的帐户向犯罪分子或骡子帐户发送资金转帐。你永远不会看到这笔交易,但从银行的角度看,它似乎来自你。更糟糕的是,当你稍后检查您的银行帐户,您没有注意到任何资金丢失,因为MitB恶意软件可以调整您在浏览器中看到的帐户余额。让我们来看看今天可用的一些更常见的防御,以及它们如何协同工作。

网络签名

基于网络的签名对于检测和阻止许多不同类型的网络攻击,大多数IDS / IPS产品和WAF都包含用于识别“浏览器中的人”攻击的签名。虽然这些签名是一个重要的安全层,但要记住这种方法存在重大挑战。

首先,由于最终用户的计算机已经被恶意软件攻击,因此IPS传统上寻找的真正漏洞已经发生。相反,IPS和WAFs必须依赖于检测与已知恶意软件相关的异常或工件,例如独特的用户代理或IP地址。攻击者可以轻松演变以隐藏或更改这些指示符以避免被发现。此外,我们必须记住,大量的MitB生命周期仍然存在于受感染用户的计算机上,并且实际上可能根本不会遍历网络。例如,MitB恶意软件可以在用户的​​浏览器中本地注入脚本以创建用于收集个人数据的虚假表单字段,或者可以改变呈现给用户的数据以隐藏盗窃。这种行为仍然存在于客户端,并且永远不会在网络上看到。

Client Security

鉴于对受感染客户端的依赖,客户端自然有意义de security在与浏览器中的人斗争中非常重要。实际上,传统的客户端防病毒软件本身不仅会查找恶意软件感染,还会查找恶意软件在主机上执行的许多操作,例如注入浏览器进程。此外,更复杂的客户端安全产品专注于浏览器,并将查找恶意软件用于控制和操纵浏览器的HTML和JavaScript注入。

但是,您可能正在检测此模式一点,这种方法也不是银弹。对MitB的客户端保护遭受了多年来困扰反病毒行业的许多相同挑战。也就是说,恶意软件也在不断发展它的可执行代码作为脚本注入页面以逃避签名。此外,始终存在一个循环问题,即依赖客户端软件来保护本身已经受到损害的系统。 Rootkit可以削弱本地AV,精明的恶意软件可以尝试禁用浏览器中的安全措施。

行为分析

虽然客户端和网络安全都是这个难题的重要组成部分,但银行往往最依赖严重依赖用户交易的行为分析,以便今天发现MitB欺诈。通过分析用户的交易历史,银行通常可以在转移完成之前识别可疑交易。与用户帐户绑定的可疑新收款人或转移到外国银行可能是一个直接的危险信号。同样,模式例如,经常伴随合法交易的小型交易可以突出显示MitB恶意软件可能会从用户的有效转移中略过。事实证明,这种方法在发现和制止欺诈方面非常有效。

然而,它本质上既是反应性又依赖于异常 - 这意味着银行安全团队必须在让犯罪分子走出困境之间岌岌可危。偷来的钱可能会破坏他们客户的合法转让。此外,银行还可以在交易结算之前审查交易,从而为分析丰富的数据集提供时间。随着MitB继续扩展到其他非财务目标,例如最近对Salesforce的攻击,这个分析窗口可能会消失。例如,Salesforce被设计为自助服务数据源,并且必须实时决定是否满足请求,例如所有公司客户的列表。

应用程序自我保护

[ 123]在与人在浏览器的斗争中也出现了新的方法。 Gartner的Joseph Feiman博士最近提出了运行时应用程序自我保护或RASP的概念。顾名思义,这种方法主要关注应用程序本身,对于Man-in-the-Browser,RASP环境中的应用程序是网站或Web应用程序。 RASP的概念与外部安全设备不同,驻留在应用程序中的安全性可以本机洞察该应用程序的内部工作,包括其逻辑,配置和data流动。这打开了大门,可以确切地了解攻击者是如何试图滥用应用程序的方式,这可能是外界看不到的。

对于MitB,恶意软件包含利用的脚本Web应用程序的可预测性质,用于修改最终用户的体验,或者相反,模拟用户事务到Web服务器。 RASP技术可以破坏这些尝试自动化目标应用程序逻辑的所有重要脚本。与前面提到的其他对策一样,RASP不太可能提供灵丹妙药,但它确实为MitB问题提供了一种诱人的以应用为中心的方法。

作为安全专业人员,我们最重要的方面是认识到浏览器中的人是n离开,并了解究竟是什么让它如此成功。随着应用程序不断迁移到Web上,MitB将成为所有行业中许多应用程序中持续不断的荆棘。安全地为已经感染恶意软件的最终用户提供服务并非易事,而且需要采用智能,协调的安全方法。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01