Finjan表示,Random Js Toolkit為一JavaScript程式,在每次被存取後就會動態更新,因此,它幾乎無法被傳統的特徵識別防毒軟體偵測到。
專門開發網路安全閘道產品的Finjan在周一(1/14)發表一份安全報告指出,駭客透過名為「Random Js Toolkit」的惡意工具程式,已在1萬多個美國網站植入惡意程式,進而影響使用者電腦,這是一新興的攻擊工具,能夠防堵防毒軟體的偵測行動。
根據Finjan在每月惡意網頁(Malicious Page of the Month)報告中的說明,該惡意程式工具具備了幾項特徵,包括在攻擊資料庫中儲存了網路爬蟲(web crawler)的IP位址,網路爬蟲是搜尋引擎及防毒軟體業者用來蒐集與分析全球網頁資料的技術,駭客可提供合法內容給這些網路爬蟲,以取得這些網站的合法標記,再另外提供惡意內容給使用者。
而另外兩個特徵則是用來逃避防毒軟體的偵測與攔截,例如採用隨機的網頁名稱,以避免被列入黑名單,它的手法是一有使用者造訪惡意網站後,就會動態建立一個新的URL;以及透過模糊程式碼(code obfuscation)技術讓防毒軟體難以利用特徵方式來偵測。
Finjan技術長Yuval Ben-Itzhak指出,「Random Js Toolkit」為一JavaScript程式,在每次被存取後就會動態更新,因此,它幾乎無法被傳統的特徵識別防毒軟體偵測到,因為標誌一個動態的script或是攻擊程式是沒用處的,這些攻擊程式不斷在改變,而持續更新可信賴的網域伺服器列表也僅有一點點防堵效果。
Yuval Ben-Itzhak進一步表示,僅有即時偵測及防堵攻擊的動態程式偵測技術才能防禦此一新的攻擊。因為它不仰賴URL、特徵或網站列表,而是即時偵測網頁內容,因此可在惡意程式於使用者電腦上執行前予以攔截。
Finjan的報告顯示,去年中平均每日有3萬個網頁被感染,這些含有惡意程式的網頁有8成是被放在被駭的合法網站上。現在此一情況更為嚴重。
From:
http://www.ithome.com.tw/itadm/article.php?c=47125
