Mapování škodlivého webu

V posledních několika letech se kyberzločinci stále více zaměřují na hledání způsobů, jak vložit škodlivý kód na legitimní webové stránky. Obvykle to udělali tak, že vložili kód do upravitelné části stránky a použili tento kód k zobrazení škodlivého obsahu z jiné části webu. Tuto aktivitu však může být obtížné odhalit, protože webové stránky také stále více přitahují legitimní obsah, jako jsou reklamy, videa nebo úryvky kódu, z vnějších stránek.





Zlý web: FireShark najde potenciálně škodlivé servery tím, že určí, které z nich poskytují obsah na více webových stránek.

Nyní výzkumník v Websense , bezpečnostní firma se sídlem v San Diegu, vyvinula způsob, jak takovou zákeřnou aktivitu automaticky monitorovat.

Mluvit na Bezpečnostní konference RSA Minulý týden v San Franciscu Stephan Chenette, hlavní bezpečnostní výzkumník ve společnosti Websense, podrobně popsal experimentální systém, který prochází web, identifikuje zdroj obsahu vloženého do webových stránek a zjišťuje, zda nějaký kód na webu nepůsobí škodlivě.



Software společnosti Chenette s názvem FireShark vytváří mapu propojených webových stránek a upozorňuje na potenciálně škodlivý obsah. Software každý den mapuje spojení mezi téměř milionem webových stránek a servery, které těmto stránkám poskytují obsah.

Když vytvoříte graf více webů, můžete vidět jejich komunity obsahu, říká Chenette. Zatímco některá z center obsahu, která propojují různé komunity, mohou být legitimní – jako jsou servery, které poskytují reklamy mnoha různým webům – jiné zdroje obsahu mohou naznačovat, že útočník šíří škodlivý kód, říká. Podle studie zveřejněné společností Websense vzrostlo využívání legitimních stránek online útočníky k šíření škodlivého softwaru za poslední rok o 225 procent.

I legitimní rozbočovače však mohou představovat hrozbu. V září např New York Times uznala, že online zločinci, vydávající se za legitimní inzerenty, umístili obsah na její stránky prostřednictvím reklamní sítě.



Útok na síť tohoto druhu může být mnohem lukrativnější než útok na jakoukoli jednotlivou lokalitu. Předpokládejme, že zabezpečení webu je prvotřídní. Jak se může škodlivý útočník dostat k uživateli? říká Chenette. Vhodnou volbou by byla reklamní síť.

Dálkové ovládání: FireShark zjistil, že část obsahu na stránce howtofindmyIP.com pochází z pochybných stránek hostovaných na Ukrajině.

Výzkumníci z Websense plánují vydat zásuvný modul pro prohlížeč Firefox, který odhalí obsahová centra, se kterými je stránka propojena.



Zajímavé na tom všem je, když útočníci používají, řekněme, DoubleClick jako vektor útoku, říká Tom Pinckney, spoluzakladatel firmy pro zabezpečení webu SiteAdvisor, kterou v roce 2006 koupila společnost McAfee, a nyní viceprezident pro inženýrství doporučení webu Hunch. U mnoha útoků si někdo koupí obsah v reklamní síti, ale ten, kdo obsah na stránku ve skutečnosti dodává – Bůh ví, kdo to je.

SiteAdvisor nabízí zásuvný modul, který poskytuje službu podobnou té, kterou nabízí FireShark. Společnost McAfee použila datové centrum plné virtuálních počítačů k vyhledávání škodlivých stránek na webu, vyhodnocování odkazů a odesílání jedinečných e-mailových adres, které jsou následně sledovány na výskyt spamu.

FireShark jde hlouběji než SiteAdvisor tím, že dekóduje HTML, Javascript a další kód vložený na každé webové stránce, kterou analyzuje, a hledá konečný zdroj obsahu, i když je přesměrován několikrát. FireShark poskytuje hlubší pohled na to, co se děje, říká Chenette.



Maxim Weinstein, výkonný ředitel StopBadware , nezisková organizace, která pomáhá vytvářet seznamy škodlivých webů, říká, že FireShark by mohl být pro výzkumníky zajímavým nástrojem. Varování, říká, je, že anomální chování není vždy škodlivé. Vzory, které vypadají špatně, jsou často dobré věci – jen anomální, říká.

Sledování způsobu připojení webů v průběhu času by také mohlo pomoci identifikovat škodlivé změny na webech, říká Chenette. Dodává, že zásuvný modul prohlížeče FireShark může nakonec umožnit uživatelům předávat informace o navštívených stránkách zpět do Websense.

skrýt