針對客戶端的惡意代碼分析

…………//代碼省略

如上述代碼所示，一個html文件中包含一長串加密之后的代碼，經(jīng)過Wepawet的檢測，結(jié)果為malicious(惡意的)，即用戶如果通過瀏覽器打開此頁面，會被惡意代碼攻擊，這也可以理解為該網(wǎng)頁就是一個惡意代碼宿主頁.如果該惡意代碼攻擊的系統(tǒng)漏洞在用戶的系統(tǒng)中并不存在，那么該惡意代碼對該用戶就沒有任何危害.

對加密代碼進(jìn)行解密之后的部分核心代碼如下所示：

var ghtb=document.createElement("OBJECT");

ghtb.classid="clsid: "+clid;

ghtb.launch("http: ".concat("-J-jar","-J\66.90.104.163pub ew.avi http://66.90.104.163/w.php?f=18&e=2 none"));

與漏洞CVE-2010-1423的特征碼進(jìn)行比對，可以以此判斷該惡意代碼是為了攻擊該漏洞而編寫的.

經(jīng)過對上述2個html文件的分析，可以看出用戶在訪問掛馬網(wǎng)頁時，可能會遇到被引導(dǎo)和被攻擊2個環(huán)節(jié)，這2個環(huán)節(jié)的代碼都有可能會被加密，從而隱藏真實(shí)目的，達(dá)到感染用戶的目的.

3.2　特征碼檢測

特征碼識別技術(shù)就是將惡意代碼的靜態(tài)部分進(jìn)行一些關(guān)鍵性的代碼判斷比較，包含某一特征碼的代碼就被識別為惡意代碼.國外專家認(rèn)為特征碼法是檢測已知病毒的最簡單、開銷最小的方法[10].

上文中提到的惡意代碼，有的經(jīng)過加密，也有未經(jīng)加密.如果是沒有加密的惡意代碼，可以直接通過特征碼的比對進(jìn)行檢測；如果是經(jīng)過加密的惡意代碼，只能通過沙盒模擬運(yùn)行1次，解密之后再與特征碼進(jìn)行比對.這里討論的惡意代碼都是利用客戶端的各種系統(tǒng)漏洞進(jìn)行攻擊，上文中提到的CVE-2010-1423漏洞就是其一，這里的CVE是指通用漏洞與披露(common vulnerabilities and exposures).

CVE是一個字典表，為公開的信息安全漏洞給出一個通用的名稱(CVE編號)，可以幫助用戶在各自獨(dú)立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù).在漏洞報(bào)告中指明的一個漏洞，如果有CVE名稱，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補(bǔ)的信息，解決安全問題[11].

CVE-2010-1423漏洞就是Java開發(fā)工具包URL參數(shù)變量注入漏洞，漏洞具體描述為：運(yùn)行在Windows及Linux操作系統(tǒng)下的Java開發(fā)工具包及Java NPAPI插件URL參數(shù)存在變量注入漏洞，攻擊者通過javaws.exe文件的(1)-J(2)-XXaltjvm 參數(shù)執(zhí)行任意代碼.部分源碼如下所示：

var u="http: -J-jar -J\lock.cmpxchg8b.comcalc.jar none";

if(window.navigator.appName=="Microsoft Internet Explorer")

{

var o=document.createElement("OBJECT");

o.classid="clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";

o.launch(u);

…………//代碼省略

與上文中破壞性惡意代碼比較，可以發(fā)現(xiàn)相似之處，以此作為特征編寫正則表達(dá)式，形成特征碼，可以與其他網(wǎng)頁文件的內(nèi)容進(jìn)行比對，判斷是否包含惡意代碼.

3.3　樣本分析

這里準(zhǔn)備了101個惡意代碼樣本文件和5個特征碼，這5個特征碼針對的漏洞CVE編號分別為CVE-2006-0003，CVE-2009-1136，CVE-2010-0806，CVE-2010-1423和CVE-2010-1885.接下來做一些分析，首先用5個特征碼對病毒樣本進(jìn)行掃描，得到如圖3的結(jié)果.在101個樣本中共有97個樣本中包含惡意代碼分別針對上面給出的5個漏洞，其中針對CVE-2006-0003的有26個樣本，針對CVE-2009-1136的有24個樣本，針對CVE-2010-0806的有4個樣本，針對CVE-2010-1423的有11個樣本，針對CVE-2010-1885的有32個樣本.

目前的網(wǎng)絡(luò)環(huán)境復(fù)雜，針對不同漏洞的惡意代碼數(shù)量多，并且經(jīng)常會有大量變種產(chǎn)生，在這種情況下，檢測工作非常困難.如果每發(fā)現(xiàn)一個新的惡意代碼，就要針對該代碼編寫相應(yīng)的防護(hù)措施，那么工作量非常大，且會使得殺毒軟件的病毒庫迅速膨脹.上述實(shí)驗(yàn)就是將樣本文件通過沙盒進(jìn)行分析，然后只要5個CVE特征碼，就可以檢測這101個樣本中的97個.因此，從實(shí)驗(yàn)數(shù)據(jù)上看，只要防守住漏洞，針對可能會被攻擊的漏洞，編寫相應(yīng)的特征碼，可以極大地提高防護(hù)惡意程序的效率，特征碼編寫的好壞也會影響到防護(hù)效果.

上述實(shí)驗(yàn)，使用5個列出的漏洞特征碼對樣本數(shù)據(jù)進(jìn)行了掃描分析，并且進(jìn)行了分類匯總.接下來，再對這101個病毒樣本文件逐個掃描，看看每個文件中所包含的惡意代碼會針對多少個漏洞進(jìn)行攻擊，這個實(shí)驗(yàn)需要借助于更多的漏洞特征碼，如圖4所示，其中已知漏洞就是上文中提到的5個列出的漏洞.從圖4中可以看出每個樣本文件中的惡意代碼都會針對或多或少的漏洞進(jìn)行攻擊，針對的漏洞數(shù)量越多，用戶受感染的概率就越高.因?yàn)閻阂獯a的最終目的是希望感染用戶，所以一般的掛馬網(wǎng)頁中可能會包含針對多個漏洞的惡意代碼，然后根據(jù)用戶的系統(tǒng)環(huán)境，進(jìn)行攻擊.

圖3　基于特征碼的分類匯總Fig.3　Classification based on signature

圖4　惡意代碼針對漏洞數(shù)量統(tǒng)計(jì)Fig.4　Different types of malicious codes quantity statistics

4結(jié)束語

當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜，用戶在使用Web應(yīng)用的過程中可能會面臨各種各樣的風(fēng)險.惡意代碼會針對用戶的各種系統(tǒng)漏洞進(jìn)行攻擊，因此防護(hù)針對客戶端的惡意代碼顯得尤為重要.惡意代碼會用各種方式隱藏自己的真實(shí)身份，從而達(dá)到成功感染用戶的目的，那么在檢測此種惡意代碼時就必須使用一些有針對性的手段.上文中已經(jīng)就一些惡意代碼樣本進(jìn)行了實(shí)驗(yàn)，驗(yàn)證了沙盒與特征碼檢測的有效性，但仍有一些問題需要進(jìn)一步優(yōu)化和處理.如沙盒的效率問題，如何在最短的時間之內(nèi)將加密的惡意代碼解密成易懂的明文，提高惡意代碼的檢測效率；另外就是特征碼的編寫，特征碼編寫的好壞直接影響到檢測的成功率.上述這些問題將在今后的工作中繼續(xù)開展研究.

參考文獻(xiàn):

[1]CNNIC．中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R/OL]．[2014-3-5]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201403 /P020140305346585959798.pdf．

[2]Symantec Corporation．2014 Internet security threat report， volume[R/OL]．[2014-2-12]. http://www.symantec.com/content/en/us/enterprise /other_resources/b-istr_main_report_v19_21291018.en-us.pdf．

[3]于莉莉，杜蒙杉，張平，等．Web安全性測試技術(shù)綜述[J]．計(jì)算機(jī)應(yīng)用研究，2012，29(11):4001-4005．

YU Lili，DU Mengshan，ZHANG Ping，et al．Survey on web security testing technologies[J]．Application Research of Computers，2012，29(11):4001-4005．

[4]趨勢科技．中國地區(qū)2013年第二季度網(wǎng)絡(luò)安全威脅報(bào)告[R/OL]．[2013-8-23]. http://cn.trendmicro.com/imperia/md/content/cn/license /pdf-20130823.pdf．

[5]諸葛建偉．掛馬網(wǎng)站分析追溯技術(shù)與實(shí)踐[L/OL]．[2008-6-17]. http://www.cstnet.cn/scml/20080617041513250.pdf．

[6]張慧琳，諸葛建偉，宋程昱，等．基于網(wǎng)頁動態(tài)視圖的網(wǎng)頁木馬檢測方法[J]．清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，49(S2): 2126-2132．

ZHANG Huilin，ZHUGE Jianwei，SONG Chengyu，et al．Detection of drive-by downloads based on dynamic page views[J]．J Tsinghua Univ (Sci&Tech) ，2009，49(S2): 2126-2132．

[7]章明．Web應(yīng)用程序客戶端腳本安全技術(shù)研究[D] ．上海:上海交通大學(xué)，2012．

ZHANG Ming．Research on client-side scripting security technology of web application[D]．Shanghai：Shanghai Jiaotong University，2012．

[8]段玉龍．基于沙盒仿真的可執(zhí)行程序惡意代碼檢測工具的研究與實(shí)現(xiàn)[D]．長沙:國防科技大學(xué)，2008．

DUAN Yulong．Research and implementation of sandbox and simulation based executables malicious code detection tool[D]．Changsha：National University of Defense Technology，2008．

[9]王洋，王欽．沙盒安全技術(shù)的發(fā)展研究[J]．軟件導(dǎo)刊，2009，8(8): 152-153．

WANG Yang，WANG Qin．Research on sandbox security technology[J]．Software Guide，2009，8(8): 152-153．

[10]陳丹偉，唐平，周書桃．基于沙盒技術(shù)的惡意程序檢測模型[J]．計(jì)算機(jī)科學(xué)，2012，39(6A): 12-14．

CHEN Danwei，TANG Ping，ZHOU Shutao．Malware detection model based on the sandbox[J]．Computer Science，2012，39(6A): 12-14．

[11]The office of cybersecurity and communications at the U.S. department of Homeland Security．Common Vulnerabilities and Exposures[EB/OL]．[2013-5-16]. http://cve.mitre.org/about/index.html．

(責(zé)任編輯：孟素蘭)