McAfee Gateway Anti-Malware 立下 Web 威脅防禦的標竿

1y ago

23 Views

1 Downloads

3.42 MB

10 Pages

Report/dmca

Download PDF

Transcription

白皮書McAfee GatewayAnti-Malware 技術立下 Web 威脅防禦的標竿

白皮書目錄Web 內容的即時行為模擬 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3解除封裝隱匿或伺服器多形態的 Web 威脅 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3堆積噴射攻擊的零時差行為偵測 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6改良的 PDF 與恐嚇軟體 (FakeAV 或 FakeAlert) 惡意軟體偵測 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7傳出殭屍流量偵測能力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9總結 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10McAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿2

白皮書最新版本的旗艦級 McAfee Gateway Anti-Malware 技術 (Intel Security 產品的一員) ��件以擁有最大彈性。這項技術隨附於 McAfee Web Gateway、McAfeeSaaS Web Protection、McAfee SaaS Email Protection 及 McAfee NetworkSecurity Platform ��偵測能力。重要的增強功能密集即時模擬作用中 Web內容的行為解開隱匿 Web �擊的行為主動偵測改良的主動 PDF 與恐嚇軟體(FakeAV) 威脅偵測其他傳出流量偵測能力與 McAfee AdvancedThreat Defense 整合，能深入偵測惡意軟體. Web 安全偵測技術，例如傳統的特徵 (病毒碼) 與行動惡意程式碼分析。McAfee Gateway Anti-Malware ��意軟體。現今的 Web �透過產生動態的 Web 以撰寫看似合法的 Web 行偵察、找出安裝的瀏覽器、得知如 Adobe Reader、Flash Player 或 .NETFramework 等外掛程式的可用性與版本 ��或在伺服器端快速改變惡意JavaScript � JavaScript ��記為惡意。只有 McAfee Gateway Anti-Malware Engine �作用中 Web �或伺服器多形態的 Web 威脅現今的入侵工具組 (如惡名昭彰的 Blackhole) ��物件模型 (DOM) ��型 Blackhole � HTML 文件的數個 div 元素 (見圖 1)。指令碼會利用瀏覽器 DOM 的 getElementsByTagName 函數來取用 div 元素。接著迴圈會反覆進行這些 div cAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿3

白皮書圖 1. 一個 Blackhole �載是隱匿的，並在多個 div 元素間散佈由於 McAfee Gateway Anti-Malware Engine �的Blackhole 惡意程式碼片段 (見圖 2)。圖 2. �顯示底下的負載McAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿4

白皮書此 Blackhole 變體會檢查已安裝的 Flash Player 版本 �行以 getShellCode() ��使用其 XploitSeeker �中的遠端執行入侵程式。McAfee Gateway Anti-Malware Engine � Web �端前完成所有下列工作： �攻擊，而非只是掃描指令碼的文字遵守 ECMAScript 標準、W3C DOM 及其他標準來模擬瀏覽器環境 �� (heapspraying) — 模組模擬器，以處理未來的安全威脅 (見圖 3)持續地透過 McAfee Global Threat Intelligence (McAfee GTI) 與 McAfee 客戶分享零時差，最後使用 McAfee GTI �果圖 3. �今的 Web 攻擊McAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿5

�為使用的技術會攻擊 Web 謂的 NOP (No-Operation) �憶體位址執行時，可能會命中 NOP �程式碼。圖4 �圖 4. 以 NOP �藉此 McAfee Gateway Anti-Malware Engine ��個人電腦。McAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿6

白皮書改良的 PDF 與恐嚇軟體 (FakeAV 或 FakeAlert) 惡意軟體偵測Adobe Reader �成為資訊安全專業人員的難題。Adobe Reader ��為了對抗這個威脅，最新版本的 McAfee Gateway Anti-Malware 將其模擬技術應用在 Adobe Reader 上。它會模擬 Adobe Reader 上執行 JavaScript ��偵測發現和 PDF �� 5. 隱藏在 PDF 文件中隱匿的指令碼程式碼圖 5 說明一個惡意的 PDF ��程式碼。PDF 的 JavaScript 程式碼利用 “String.fromCharCode＂ �碼的入侵程式碼會存放在名為 “buf＂的變數中，只要透過 Adobe Reader 的 “eval()＂ � (例如 ElFiesta) 在每次使用者存取文件的 Web 連結時，都會在 Web 伺服器上產生新的PDF 文件 (「伺服器端多形」)。圖 6 顯示在工具組的 Web 伺服器上執行的伺服器端 PHP 程式碼，會快速產生唯一的 PDF。每個 PDF �� 6. ElFiesta 工具組的 PHP 程式碼會快速產生獨特的新 PDFMcAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿7

��測技術。為了防禦現今的 Web l Security ��個文件中可疑的片段次，之後算一次件中廣為使用的隱匿技術 (圖 7 中紅點) 與合法文件 (圖 7 中綠點) 的對照。圖 7. �惡意軟體分佈同樣的，McAfee � FakeAV 恐嚇軟體的偵測能力 (圖 8)。FakeAV 難題。藉由結合行為與幾何分析，McAfee Gateway Anti- Malware Engine �範。圖 8. FakeAV ee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿8

白皮書傳出殭屍流量偵測能力另一項 McAfee Gateway Anti-Malware ��路用戶端嘗試連接到命令與控制 (C&C) � �禦的範例之一，就是 Conﬁcker 蠕蟲惡意軟體。在成功入侵 Microsoft Windows Server 訊息區塊 (通訊協定堆疊) ��警示。另一個範例就是名為 SpyEye �它稱做 Zeus �電腦中已感染的 Zeus，再次從 Zeus �惡意軟體會建立 %SystemRoot%\ CleanSweep.exe\ 目錄，用一個使用者模式Rootkit ��顯示此類型的通訊。圖 9. SpyEye 檔。McAfee Gateway AntiMalware 級的啟發式掃描。McAfee Gateway Anti-Malware 技術立下 Web 威脅防禦的標竿9

白皮書總結McAfee Gateway Anti-Malware Engine � HTTP 與 HTTPS 通道傳遞的當今威脅。當其與其他的 McAfee Web Gateway �抗惡意軟體攻擊：如需 McAfee Gateway AntiMalware /webprotection McAfee Global Threat �躍網站的資料，提供最新的惡意 Web �鎖已知病毒。URL 篩選：將特定網站加入白名單/黑名單 ��惡意活動)。 URL 分類：將網站指派到特定的類別網站。媒體篩選：檢查與封鎖多種媒體檔案 (GIF、JPEG 等)。 �有的功能 (例如允許 Facebook 存取，但不允許Facebook 聊天)。 HTTPS 掃描：解密與檢查加密 HTTPS �程式控制。資料遺失防護 (DLP)：防止洩露機密資料 ��記錄等)。 �檔案分享網站 (例如 Box、Dropbox、Google Drive等)。單一登入 (SSO)：提供 SSO 操控面板，讓使用者無須使用者 ID 與密碼就能登入外部網站。與 McAfee Advanced Threat Defense 整合：專為在貴公司黃金級映像 (複製您環境特有的行為) �式碼分析。其可以結合 McAfee Web ��惡意軟體。利用這些技術，McAfee Gateway Anti-Malware 將 Web 程式的危害。關於 McAfeeMcAfee 現在隸屬於 Intel �全域威脅情報，Intel Security el Security 將 McAfee 的經驗與專業與 Intel ��Intel Security elsecurity.com。McAfee. Part of Intel Security.台北市 110 基隆路一段333 號 22 樓 2210 室886-2-2757-6677www.intelsecurity.comIntel 與 Intel 和 McAfee 標誌是 Intel Corporation 或 McAfee, Inc yright 2015 McAfee, Inc. 62052wp gateway-anti-malware 0715

McAfee Gateway Anti-Malware o j Web 威脅防的 Ì 9 e f å 傳出殭屍流量偵測能力另一項 McAfee Gateway Anti-Malware �判定透過網際網路的通訊是 �控制 (C&C) �