越来越多的恶意网站开始使用复杂的避免被传统的安全技术检测到。攻击者的目标包括恶意软件传播、数据泄露、修改和比特币挖矿。NTT研究人员使用两种类型的诱饵系统(蜜罐客户端)发现了5种新型的绕过技术,利用JS应用过程中的差异来避免被安全软件检测到。
NTT使用结合高交互和低交互的蜜罐客户端来检测和监控一些站点。高交互的蜜罐客户端是一个真实的浏览器,可以准确检测浏览器中的漏洞利用和恶意软件下载情况。低交互的蜜罐客户端是一个浏览器模拟器,用来模拟不同的客户端配置文件、追踪复杂的重定向、hook代码执行等。这两种方法是互相补充来改善整体的分析效果的。
研究人员通过分析恶意网站来确认恶意性,而攻击者也会开发更加复杂的技术来绕过蜜罐客户端的分析。攻击者滥用客户端环境的不同构造能够控制重定向客户端到恶意URL的JS代码。其中绕过代码广泛通过利用套件进行传播,所以急需对应措施。
典型的重定向会滥用浏览器指纹,根据User-Agent字符串中的browser/OS类型来重定向有漏洞的客户端。绕过代码会测试JS应用的区别,根据浏览器对执行代码的响应来判定浏览器是否有漏洞。通过在高交互和低交互的蜜罐客户端中使用不同的JS应用,研究人员研究了代码绕过的本质,并分析了每个蜜罐客户端类型收集的代码的区别。
为了研究绕过代码,研究人员构建了重定向图谱并对其进行了差分分析。然后对代码进行手动分析来基于代码相似性来分类和识别特定的绕过技术。
图2: 对高交互和低交互蜜罐客户端收集的重定向图的差分分析
在过去的4年里,研究人员收集了来自20272个恶意网站中的8500个JS样本。差分分析从1166个收集的流量对中提取出2410个JS代码段。从这些代码段中,形成了57个代码簇和我224个噪声。分析识别出5个滥用JS应用差异的绕过技术。
研究人员在每簇中通过手动分析代表点找出了下面的绕过代码:
图3: 识别出的绕过技术
为了确定这些绕过技术是否可用作IOC,研究人员分析了Alexa top域名中的860000个URL,在26个URL中检测到了setTimeout()绕过代码,这些都是被黑的网站,其他绕过技术在非恶意的网站中也(非故意地)使用了,还有些绕过技术也不在使用了。
图4: setTimeout()函数浏览器响应的差别
研究人员希望通过研究可以帮助应急响应参与者理解和分析流行的恶意网站,并改善传统蜜罐客户端的分析能力。
更多技术细节参考Yuta Takata在第30届FIRST大会分享的PPT:
https://www.first.org/resources/papers/conf2018/Takata-Yuta_FIRST_20180531.pdf