Google-ovi problemi sa otkivanjem malicioznih sajtova

Vesti, 19.08.2011, 10:51 AM

Google-ovi problemi sa otkivanjem malicioznih sajtova

Google je u sredu objavio novu studiju (“Trends in Circumventing Web-Malware Detection”, pdf) koja ukazuje na problem koji gigant pretrage ima sa identifikacijom malicioznih veb sajtova i napada.

Inženjeri kompanije Google analizirali su podatke prikupljane tokom prethodne četiri godine o kompromitovanju 8 miliona veb sajtova i 160 miliona veb stranica. Svi podaci o kompromitovanim sajtovima i stranicama nalaze su u Google-ovom Safe Browsing servisu, koji je API (aplikacioni programski interfejs) koji snabdeva browser-e Chrome i Firefox informacijama na osnovu kojih ovi programi upozoravaju korisnike kada dospeju na veb sajt na kome se nalazi malware.

Dnevno Google prikaže 3 miliona upozorenja o nebezbednim veb sajtovima za 400 miliona korisnika. Kompanija konstantno pretražuje internet u potrazi za malicioznim sajtovima, koristeći u tu svrhu različite metode.

Međutim, otkrivanje malicioznih sadržaja na internetu postaje sve teže zahvaljujući tome što napadači koriste čitav niz različitih metoda kako bi izbegli da njihovi sajtovi budu označeni kao loše veb destinacije.

Svega 2% veb sajtova se za distribuciju malware-a oslanja na metode društvenog inženjeringa, koje podrazumevaju prevaru korisnika koje treba namamiti da posete određeni sajt i instaliraju malware. Obično je tom prilikom malware maskiran kao antvirusni program ili dodatak za browser.

Daleko češće se za distribuciju malware-a sa spornih sajtova koristi metoda infekcije koja se naziva drive-by download. Kompromitovane veb stranice instairaju maliciozni program koristeći ranjivost u browser-u ili u dodatku za browser. Analizirajući tokom vremena ranjivosti koje se koriste na ovakav način iz kompanije su došli do zaključka da napadači koriste taktiku brzog menjanja propusta kojeg koriste kako bi izbegli otkrivanje i označavanje svojih sajtova kao spornih.

"IP cloaking" je SEO tehnika prikrivanja koju napadači sve češće koriste kako bi izbegli detekciju malicioznosti svojih sajtova. Koncept ove tehnike je sledeći: sadržaj koji se predstavlja detekcionim sistemima pretraživača se razlikuje od onoga koji korisnici vide u svojim browser-ima. U avgustu 2009. godine Google je otkrio 200000 ovakvih sajtova koji koriste IP cloaking. Da bi se zaobišao ovakav vid odbrane napadača, Google koristi svoje skenere na različite načine kojima imitira regularan korisnički internet saobraćaj.

Da bi otkrila maliciozne sajtove kompanija često koristi virtuelne mašine kao zamke ("virtual machine honeypot"), koje posećuju veb sajtove i beleže šta se tamo događa. U istu svrhu se koriste i browser emulatori. Druge metode uključuju rangiranje veb sajta na osnovu reputacije hosting infrastrukture, kao i antivirusni softver koji je još jedna linija odbrane.

Jedan od načina na koji napadači mogu da izbegnu detekciju od strane virtuelnih mašina je zahtevanje od korisnika da kliknu mišem. Ipak, mnogi sajtovi su napravljeni tako da automatski pokreću napad ukoliko otkriju nezakrpljeni softver i ranjivost u njemu.

I browser emulatori takođe mogu biti zbunjeni napadima u kojima se koristi metoda maskiranja malicioznog koda (obfuscated code). S obzirom da browser emulator nije pravi browser, on neće nužno pokrenuti maskirani JavaScript kod na iisti način kao što bi to učinio praavi browser. Jedino objašnjenje za korišćenje ovako kompleksnih kodova je ometanje browser emulatora.

Iz kompanije su se osvrnuli i na slabost antivirusnih programa u detekciji maliciznih sadržaja u realnom vremenu. Ovo u Google-u objašnavaju pretpostavkom da napadači analiziraju antivirusne proizvode pre nego svoje maliciozne kodove stave u funkciju napada.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovan sajt Evropske centralne banke, hakeri traže otkup za ukradene podatke korisnika

Hakovan sajt Evropske centralne banke, hakeri traže otkup za ukradene podatke korisnika

Web sajt Evropske centralne banke (ECB) je hakovan, a hakeri su ukrali email adrese i brojeve telefona korisnika posle čega su pokušali da iznude no... Dalje

Desetine hiljada sajtova hakovano zbog ranjivosti u MailPoet WordPress pluginu

Desetine hiljada sajtova hakovano zbog ranjivosti u MailPoet WordPress pluginu

Pre nekoliko nedelja istraživači firme Sucuri pronašli su ozbiljan bezbednosni propust u MailPoet WordPress pluginu. Tada je apelovano na korisnike... Dalje

Internet Explorer i Flash Player plugin najpopularnije mete hakera u 2014.

Internet Explorer i Flash Player plugin najpopularnije mete hakera u 2014.

Adobe Flash Player je ove godine najčešće napadani dodatak za browsere, kada je reč o 0-day napadima, pokazalo je najnovije istraživanje firme Br... Dalje

Prezentacija o otkrivanju identiteta korisnika TOR-a na konferenciji Black Hat iznenada otkazana

Prezentacija o otkrivanju identiteta korisnika TOR-a na konferenciji Black Hat iznenada otkazana

Prezentacija istraživača Univerziteta Karnegi Melon iz Pitsburga o tome kako je moguće otkriti identitet korisnika koji koriste TOR mrežu, koja je... Dalje

Kako su nigerijski prevaranti sa naivnih korisnika interneta prešli na kompanije

Kako su nigerijski prevaranti sa naivnih korisnika interneta prešli na kompanije

Nigerijski prevaranti poznati po smešnim emailovima punim gramatičkim greškama u kojima obećavaju bogatstvo u zamenu za malu novčanu nadoknadu iz... Dalje