I'n Blog 之萬象真藏

面對層出不窮的瀏覽器漏洞以及針對這些漏洞開發的各種基於Web的惡意攻擊，正在波士頓召開的Usenix安全研討會對這一問題進行了廣泛討論，與會安全專家就此提出了一種新的基於執行的惡意軟件檢測技術。

畢業於華盛頓大學的Alexander Moshchuk領導了一個研究小組，對這種技術進行了證明，並開發了一個檢測工具來過濾惡意程序。專家認為「虛擬沙盒」是一種非常有效的檢測Web應用可疑行為的檢測方法，能夠在危險降臨用戶終端瀏覽器之前將其發現。

隨著各種黑客攻擊、0-day威脅的增長，以及攻擊複雜性的加強，專家們已經不太看 好基於特徵的反病毒檢測技術，認為其不足以應付各種各樣的網絡攻擊。因此，出現了一些新的終端防護技術，以免用戶終端遭受未知漏洞攻擊。虛擬技術是被許多 專家看好的解決這一問題的技術，Moshchuk利用該技術在華盛頓大學研發了一個檢測工具，名叫SpyProxy。其有如一台虛擬機一樣坐落在用戶終端 瀏覽器和Web站點之間，下載並檢測用戶訪問的Web應用，以防禦潛在的攻擊。專家稱在秒量級時間內，SpyProxy就可以有效地對各種類型的網頁或應 用進行檢測分析，來確定該網頁是否包含各種威脅。Moshchuk是這樣說的：「SpyProxy還有一些不足之處，但毫無疑問，它是互聯網安全武器庫中 的一個有效的新武器，其以低廉花費解決了現實存在的0-day問題，並實實在在地讓Web瀏覽更加安全。」

假如將整個2006年微軟IE漏洞從被發現到發佈更新補丁所經歷的時間全部加起來的話，總量達到了9個月，也就是說對於惡意代碼攻擊者來說，他們有9個月的時間來對終端用戶實施攻擊。同時Moshchuk還發現，某些特殊的商業用戶甚至給攻擊者留下的時間更長。

基於執行的惡意軟件行為檢測技術對於大多數交互式攻擊還能應付，但對一些高級的攻擊 形式就無效了，例如所謂的跨平台腳本（XSS）欺騙。而SpyProxy通過創建一個虛擬機，鏡像一個看起來跟用戶正在使用的一模一樣的瀏覽器，並對用戶 訪問的網頁或應用進行檢測看起是否包含攻擊代碼。雖然這個過程會延遲一些網絡瀏覽時間，每個URL在不改變狀態的情況下需要3秒鐘，但專家堅持認為，目前 來講用這點時間來換取解決0-day攻擊和各中威脅是值得的，終端用戶也是接受的。

華盛頓大學的研究小組對大約2000個網站的124個獨立URL進行了測試，研究 人員發現了27個交互式瀏覽器攻擊，並發現73%的下載含有惡意代碼、廣告軟件以及其他不需要的程序。研究小組稱，SpyProxy能夠發現並阻止所有威 脅。說到SpyProxy的適應性，其本來是針對工作站集群的多用戶設計的，並且計劃免費發佈。根據Moshchuk的說法，單CPU設備一天可以處理將 近82,000的頁面，他預計在這種情況下，每台設備大約可以覆蓋800個用戶的請求。在小型企業中用一台四核的設備就可以防護幾千用戶。

但研究人員也稱SpyProxy還有不足之處。其一就是它對諸如文本等靜態頁面的 處理效率很高，對於動態生成的應用頁面檢測還有待提高。另一個不足之處其還不能很好地判斷一個網頁或應用何時已經全部載入完成，何時可以將內容傳給最終用 戶，對於這一點要小心行事。但是在未改變狀態的情況下，該工具會對已經通過檢測的頁面減少掃瞄以加快效率，當然這是在先前下載的頁面沒有變化的情況下。根 據Moshchuk的說法，如果不加限制或只允許靜態頁面通過，SpyProxy需要的檢測時間就能夠降到600毫秒。另一種提高該工具執行效率的方法將 整個處理過程分成幾個處理單元，每個單元負責一部本網頁。

Moshchuk還稱華盛頓大學研究小組希望其他研究人員能夠使用這種動態檢測技 術來處理惡意軟件，同時承諾將會繼續對此開展研究並不斷提高SpyProxy的性能。Moshchuk說：「我們不是要研發一個完美安全工具，而是希望能 夠深入研究該項技術。但是我們希望在不影響大家的情況下，能夠開始使用該工具以支持我們的研究。」(責任編輯：李磊)