互联网企业应对恶意网址的思考

 形势概述与危害分析

利益驱动，恶意软件专业化，集团化

通过第三方挂马，间接挂马方式流行

第三方软件漏洞大量利用，0day频出，防不胜防

针对诈骗问题，互联网企业很难独善其身

互联网企业如何应对恶意网站

搜索
Google，Yahoo搜索结果加入恶意评价
Google Safe Browsing API提供恶意库

浏览器
IE、firefox等添加恶意检查特性
安全浏览器：sandboxie  、360安全浏览器

安全厂商
杀毒客服端，云安全
IE 插件，过滤防火墙
评价体系McAfee SiteAdvisor

互联网公司需要面对的挂马威胁策略：

办公网：不受渗透威胁
　　建立认证web 访问控制
　　建立出口exe下载，url访问审计日志
产品：不挂马传播渠道，保护帐号体系
　　建立统一过滤库，定期更新
　　各个产品联动，整体打击
　　关键域名DNS 解析情况实时监控
第三方
　　建立第三方登记和认证中心，进行检测拦截
　　建立高效，完善应急处理体制，迅速响应

 

剖析恶意代码攻击的几个特点：

基础：必须利用ActiveX漏洞、逻辑漏洞、浏览器漏洞
通道：通过DNS劫持，ARP欺骗，SQL注入挂马方式多样
对抗：Web2.0技术普遍应用，自动检测困难
对抗：代码混淆技术形式多样，查杀困难

剖析恶意代码的代码混淆技术：

变量：计算拼接，Unicode变量名
函数：分块，重定义
编码：base64 、MD5、自定义 加密
运行时修改：eval、window.exeScript、document.write
条件激发：是否已中毒、IE版本是否符合、是否安装杀毒软件

 检测恶意代码的常见方案：

特征码：利用特征病毒库判断病毒的方式
例子：JS.Dropper-33:3:200,30:756e6573636……

行为监控：在虚拟机中访问网页，监控程序网络访问行为

脚本解析：使用脚本引擎解析网页，获取最终执行代码

需要面对的钓鱼威胁：
技术创新
安全需求：图章技术(sealin)，通道独立
识别技术：过滤系统
联动打击：各产品统一整体的打击体系
体系完善
预防：用户教育
检测：建立客服投诉渠道，迅速响应屏蔽
打击：法务打击
针对第三方的问题的一个解决方案:

 

对于互联网公司如何应对恶意网站这个内容可以探讨的很多。
这只是个人的一些思考，希望能够引起大家更多的思考。

互联网公司要能够共同努力，毕竟用户机器中毒对于任何一家互联网公司不是一件什么好消息。