AJAX-basierte Web-Nutzung fragmentiert Angriffe erkannt in der Wildnis

2014-01-08  |  Comebuy News

Sicherheitsexperten von Web-filtering-Anbieter M86 Security wurden erkannt Web-Nutzung-Attacken, die AJAX (Asynchronous JavaScript and XML), die Nutzlast Fragmentierung verwenden in kleine Stücke des Codes, die sind schwerer zu durch Antivirenprogramme und Intrusion Prevention-Systemen zu erkennen.

Comebuy Verwandte Artikel: Norton, BitDefender & McAfee schlug in StudyYahoo Messenger Fehler ermöglicht durch anderer Leute Status MessagesSingle-Ziel Spam zielt OfficeYahoo Messenger Fehler durch anderer Leute Status MessagesCybercriminals nutzen PDF-Filter einbetten Malware Spam kann Spam

"Der Angriff beobachtet wurde, auf einem laufenden Server in China, die Malware bedient wird," sagte Moshe Basanchig, ein Forscher M86 Security in einem Blog-Post am Dienstag.

Der Angriff beginnt auf einer Seite, die eine unauffälligen Stück JavaScript-Code enthält, ähnlich häufig auf legitime Verwendung von AJAX-Websites ist.

Dieser Code ist verantwortlich für die Nutzlast in mehrere Abschnitte und Montage es wieder zusammen vor der Ausführung auf dem Client abrufen. Verschiedene Seiten von M86 serverseitig Angriff ausgenutzt Schwachstellen in ungepatchten Versionen von Flash Player und Internet Explorer.

Diese Nutzlast-Fragmentierung-Technik macht es schwieriger für Signatur-basierte Sicherheits-Programme, um die Angriffe zu erkennen. Viele Web-Filtermechanismen sind als Netzwerk-Filter-Treiber implementiert und Datenverkehr überwachen, wie sie die Netzwerkschnittstelle durchläuft.

Jedoch wenn es Stücke von legale-Code, die nur bösartige gibt, wenn Sie in der Browser Speicher kombiniert werden, ist es viel schwieriger, eine Signatur erstellen und den Angriff auf Netzwerkebene Schnittstelle zu erkennen.

"Der Hauptgrund, dass Malware-Autoren AJAX verwenden, ist die Fähigkeit, generische Angriffsseiten zu schreiben, die aussehen gutartige und bösartige werden, erst dann, wenn der dynamische Inhalt geladen wird", sagte Basanchig.

"Dieses Angriffsszenario hat definitiv seine Vorteile: durch Übergabe der Nutzlast in mehreren unterschiedlichen Ausschnitten, die problematische Pakete würde wahrscheinlich vermeiden Abhören wie sie die Firewall passieren", sagte Bogdan Botezatu, e-Threats Analyst bei Antivirenhersteller BitDefender.

Nach Botezatu, möglicherweise andere Schutzschichten gefunden in antivirus-Programme erkennen und blockieren den Code, wenn es wieder zusammengesetzt wird, im Speicher oder wenn es ausgeführt wird. Um zu vermeiden, zu einem Opfer, wenn automatische Erkennungsmethoden, obwohl fehlschlagen, sollten Benutzer ihre Browser und Plug-ins wie Flash Player, Adobe Reader oder Java, aktuell zu halten.

"Last but not least ist es unverzichtbar für den Benutzer zu bleiben weg von Web-Ressourcen, sie nicht vertraut mit, wie URLs in Spam-Mails enthalten sind", sagte Botezatu.

« Back