意大利两所大学的研究人员发现,恶意软件使用HTML5 API可隐藏在路过式下载漏洞利用代码中。
攻击者可通过路过式下载的方式安装恶意软件、监控软件或计算机病毒。通常情况下杀毒软件可检测出此类攻击,这也是攻击者为何会使用多种混淆技术隐藏恶意行为。有研究论文指出,结合HTML技术及API如Canvas、WebSocket、Web Workers、IndexedDB、localStorage、WebSQL、Cross-Origin Client Communication、以及File API,攻击者可混淆路过式下载漏洞代码利用。
首次研究成果于2013年春执行,随后在2015年7月份重新执行。计算机科学家利用Firefox以及IE中有名的安全漏洞通过VirtusTotal测试了基于HTML5的混淆技术。虽然所有的漏洞利用代码都在没有使用混淆的情况下被检测出来,但研究人员在2013年及2015年使用HTML5技术时,很少有杀毒引擎可以检测出来。
该研究论文(第15页)指出,开发人员通过三种不同技术混淆并对恶意代码进行反混淆:
委托准备——将恶意软件的准备委托到系统API。
分布准备——将准备代码部署到在浏览器中运行的几个并发及独立进程中。
用户驱动准备——让用户在与页面交互时触发对准备代码的执行。
所有的这些技术都可针对静态及动态分析检测引擎。该论文还提供了评论及应对措施。论文指出,“深入调查显示,杀毒引擎之所以无法检测到混淆恶意软件是因为这些检测系统无法识别并处理与HTML5相关的基元。”
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。