網頁惡意程式碼偵測之研究 === ###### tags: `論文研討` `2009` --- ## 摘要 - 惡意網頁 - 程式碼偵測 --- ## 前言 - HTTP 上支援的功能越多越複雜，加上由不同工程師製作完成的程式湊在一起，因此容易產生各式各樣的漏洞 --- ## 研究動機 - 目前被忽略的網路攻手法 - 透過web server的漏洞先行植入惡意程式碼 - 自行建立能吸引大眾話題的文章或是照片連結，再將惡意程式碼隱藏其中，對電腦系統漏洞進行隱藏式攻擊 - 根據 Google 的研究，在網路上流傳的URLs含有惡意程式碼的機率高達10%以上 --- ## 相關背景及研究 - 利用郵件夾帶病毒或木馬攻擊 - 利用郵件夾帶病毒或木馬的連結程式 - 免費小程式或是非法程式破解 --- ## 網路安全的迷思 - 防毒軟體永遠趕不上病毒的更新速度，因此防毒不一定安全 - 網站只要有漏洞都會有被駭的風險，並不是一定要到非法網站才會中毒 --- ## 網頁型攻擊的內容研究 - iframe - 語法位置異常 - 在\<html\>或是<?php之前， 或在</html>或是?>之後 - 出現此情況的網頁內容含有惡意語法或是連結的機會高達 99%以上 --- ## 網頁型攻擊的內容研究(續) - iframe - 長度寬度為零 - width=0、 height=0 - 此為惡意連結的機會高達 95%以上 --- ## 網頁型攻擊的內容研究(續) - iframe - 相同iframe重覆性 當網頁被植入惡意連結時，通常相同內容不會只被植入一次，可能在同一個頁面出現三次以上 --- ## 攻擊混淆手法 - 利用語法分割iframe網址 - Script 可以定義字串然後再把各字串組合成一個新的字串，進而執行新字串 --- ## 攻擊混淆手法(續) - 編碼隱藏語法 - 編碼的方式更是可以自由選擇(Unicode/US-ASCII/Base64等)  --- ## 攻擊混淆手法(續) - 特殊字元取代法 - 例如原本的%u是unicode的標準格式，可以利用一特定字元來取代  --- ## 自動評分系統 - 依據危險的程度分別給予特定的分數 --- ## 資料庫系統 - 建立資料庫系統可以減少處理 Script Simulator 所花的時間 - HoneyPot Client系統，平時進行惡意網頁的收集及紀錄，並將所收集到的惡意網頁及紀錄丟到 Auto Analysis System - Auto Analysis System 會丟出需人工判斷的程式碼 --- ## Auto Analysis System - 自動分析模組裡有的 Log Parser 可以針對網頁內容進行Parser --- ## 結論 - 本文所提出的解決方式能達到 85%以上 --- ## End