网络安全 频道

企业怎样保护浏览器中间人受攻击

  采用防火墙、杀毒软件和其它安全机制保护企业网络,攻击者是如何突破企业的计算机系统的呢?简单地利用这个安全链条中的最薄弱的缓解就可以。最新的方法之一是利用“浏览器中间者”(Man-in-the-Browser,MitB)攻击在员工的浏览器中建立一个隧道。

  MitB攻击首先是利用恶意软件(通常是像Zeus或者SpyEye那样的木马程序)在表面上无害的网站上引诱用户。当访问者来到这个网站的时候,这个恶意软件就控制用户的网络浏览器并且修改网页、内容或者显示给这个用户的交易数据。

  所有这些都是在用户完全不知情的隐蔽情况下完成的。根据浏览器的使用目的,MitB攻击能够让攻击者悄悄地窃取从登录证书到账户号码或者金融信息等任何信息。由于浏览器进程中通常包含电子邮件系统、虚拟专用网(VPN)和云服务(如云CRM)的登录细节,在不影响性能的情况下锁定这些进程是非常重要的。移动设备的爆炸式增长和许多人能够远程访问企业资源使这个情况更加严重。

  员工被这种网站感染或者成为偷渡式(drive-by)感染的受害者并不困难,因为每一天都会创建出许多欺骗性的网站。犯罪分子甚至使用搜索引擎优化技术提升这些网站在搜索列表中的排名。但是,许多合法的网站也受到感染。像最近的LinkedIn网站的电子邮件钓鱼促销活动那样,许多设计好的攻击用来伏击个人用户并且安装Bugat和Clampi等高级的恶意软件。

  这种现代的恶意软件旨在躲过传统的杀毒软件解决方案的雷达,绕过令牌或者网络接入控制系统等强大的身份识别技术。接下来,这种攻击捕捉浏览器处理的所有数据并且把这些数据传送给犯罪分子。所有这些都是在不引起报警的情况下完成的。

  我们最近破解了Zeus木马程序对流行的思杰接入网关的攻击,说明了犯罪分子正在设法在安全控制方面领先一步。

  为了保护自己的SSL VPN产品阻止键盘记录恶意软件的攻击,思杰允许企业客户化这个登录页,包括一个替代物理键盘的一个虚拟键盘。不用使用物理键盘输入口令,使用鼠标点击屏幕上显示的按键从理论上说可以绕过键盘记录器。

  但是,我们最近破解的一个Zeus 2.0木马程序包括如下代码:

  用英语解释,“@”意味着当点击鼠标左键时,捕捉鼠标附近的文本的截屏图像。“*/citrix/*”具体指明当这个文本“*/citrix/*”出现在浏览器地址栏的时候,捕捉这个截屏图像。

  这个Zeus木马程序片段是专门为打败虚拟键盘设计的。通过捕捉在点击鼠标时鼠标指针附近的截屏图像,Zeus木马程序能够读取在点击鼠标时随着鼠标指针点击的按键的顺序显示出来的用户的口令。

  如果安全行业要在阻止网络攻击的浪潮中取得任何进展的话,我们需要解决在这个进入点解决这种危险。这个新的攻击点已经变成了浏览器。

  当前的解决方案不能有效地解决这种威胁。NAC(网络接入控制)依靠杀毒攻击。这些攻击已经被证明是没有效的,在检测Zeus等高级木马程序的有效率最多是77%。SSL VPN系统使用的令牌和其它身份识别设备很容易被绕过,因为这个恶意软件是实时工作的并且在一个连接经过身份识别之后立即采取行动。

  保护浏览器进程安全的一个方法是在用户的设备中创建一个“虚拟防火墙”。这个包含轻型安全软件的防火墙能够在浏览器访问企业网络或者企业应用程序的时候启动,因此是透明的。通过把浏览器进程与这台计算机上的其它活动隔离开,它就能够阻止恶意软件劫持在企业中受保护的Web进程。

  这个虚拟防火墙还能够根据与浏览器相关的行为检测是否存在恶意软件。当一个被恶意软件感染的机器设法与这个企业沟通的时候,这个虚拟防火墙就会识别出来这个恶意软件并且采取杀毒措施。如果不成功,在这个恶意软件自由之前,这个恶意软件将被禁止访问所有的企业系统。

  此外,这个虚拟防火墙技术将提供强大的敲击键盘加密,防止键盘记录程序拦截登录证书和账户号码等保密的数据。虚拟防火墙将保护浏览器与网络或者应用程序之间的通讯以防止非授权的修改并且提供API(应用程序编程接口)封锁以阻止非授权访问。

  正如优秀的教练说的那样,最佳的防御是很好的进攻。要打败MitB攻击,企业需要在他们的新的进入点--浏览器--与犯罪分子展开斗争。这需要采取多层次的安全方法,首先要保持系统使用安全补丁并且是最新的安全补丁,通过教育增强最终用户的安全在线行为的需求,实施强大的身份识别标准以及使用虚拟防火墙等新的浏览器保护机制。

  

0
相关文章