互联网企业应对恶意网站的思考

1. 互联网企业应对恶意网站的思考 安全中心 applelin

2. 目录 • 形势概述与危害分析 • 问题与难点分析 • 互联网企业如何应对恶意网站 • 腾讯产品安全现状与规划

3. 形势概述与危害分析 • 0.02% • 7997696 • 35% • …

4. 形势概述与危害分析 • 利益驱动，恶意软件专业化，集团化 • 通过第三方挂马，间接挂马方式流行 • 第三方软件漏洞大量利用，0day频出，防不胜防 • 针对诈骗问题，互联网企业很难独善其身

5. 形势概述与危害分析 • 木马下载器大量传播，危害游戏产业帐号体系 • 催生僵尸网络，DDOS攻击流行 • 通过肉鸡进行点击欺诈，危害广告、搜索产业 • 诈骗带来大量投诉，运营成本高，企业信誉受损 • 电子商务，银行用户受损较大，用户流失

6. 问题与难点分析 • 挂马网站危害用户过程分析:

7. 问题与难点分析 • 不同时期打击成本金字塔:

8. 互联网企业如何应对恶意网站 • 搜索 • Google，Yahoo搜索结果加入恶意评价 • Google Safe Browsing API提供恶意库 • 浏览器 • IE、firefox等添加恶意检查特性 • 安全浏览器：sandboxie 、360安全浏览器 • 安全厂商 • 杀毒客服端，云安全 • IE 插件，过滤防火墙 • 评价体系McAfee SiteAdvisor

9. 互联网企业如何应对恶意网站 • 互联网公司需要面对的挂马威胁策略： • 办公网：不受渗透威胁 • 建立认证web 访问控制 • 建立出口exe下载，url访问审计日志 • 产品：不挂马传播渠道，保护帐号体系 • 建立统一过滤库，定期更新 • 各个产品联动，整体打击 • 关键域名DNS 解析情况实时监控 • 第三方 • 建立第三方登记和认证中心，进行检测拦截 • 建立高效，完善应急处理体制，迅速响应 互联网企业必须具备恶意网站检测发现能力

10. 互联网企业如何应对恶意网站 • 剖析恶意代码攻击的几个特点： • 基础：必须利用ActiveX漏洞、逻辑漏洞、浏览器漏洞 • 通道：通过DNS劫持，ARP欺骗，SQL注入挂马方式多样 • 对抗：Web2.0技术普遍应用，自动检测困难 • 对抗：代码混淆技术形式多样，查杀困难

11. 互联网企业如何应对恶意网站 • 剖析恶意代码的代码混淆技术： • 变量：计算拼接，Unicode变量名 • 函数：分块，重定义 • 编码：base64 、MD5、自定义加密 • 运行时修改：eval、window.exeScript、document.write • 条件激发：是否已中毒、IE版本是否符合、是否安装杀毒软件 当代码和数据混在一起，问题变复杂了

12. 互联网企业如何应对恶意网站 • 网页木马代码混淆技术对抗杀毒 软件的实例 • 一段利用InstallShield 漏洞的网马 • 混淆前，赛门铁克可以查杀 • 混淆后，赛门铁克不能查杀

13. 互联网企业如何应对恶意网站 • 检测恶意代码的常见方案： • 特征码：利用特征病毒库判断病毒的方式 • 例子：JS.Dropper-33:3:200,30:756e6573636…… • 行为监控：在虚拟机中访问网页，监控程序网络访问行为 • 脚本解析：使用脚本引擎解析网页，获取最终执行代码

14. 互联网企业如何应对恶意网站 • 一个利用虚拟机技术检测挂马页面例子，系统构成：

15. 互联网企业如何应对恶意网站 • 一个利用虚拟机技术检测挂马页面例子，工作流程

16. 互联网企业如何应对恶意网站 • 一个利用虚拟机技术检测挂马页面例子，结果分析 ：

17. 互联网企业如何应对恶意网站 • 基于脚本解释引擎的挂马检测系统，引擎对比： • 测试环境：2G RAM，CPU 3.0GHz * 4。系统：32bit SuSE 10 + gcc 4.1.2 • 样本总计：63854个

18. 互联网企业如何应对恶意网站 • 需要面对的钓鱼威胁： • 技术创新 • 安全需求：图章技术(sealin)，通道独立 • 识别技术：过滤系统 • 联动打击：各产品统一整体的打击体系 • 体系完善 • 预防：用户教育 • 检测：建立客服投诉渠道，迅速响应屏蔽 • 打击：法务打击

19. 互联网企业如何应对恶意网站 • 针对第三方的问题的一个解决方案

20. 腾讯产品安全现状与规划 腾讯以“最受尊敬的互联网公司”为远景，致力于提高互联网安全。 建立统一的恶意网站评价体系，并应用于各产品：

21. 互联网企业应对恶意网站的思考 互联网企业应对恶意网站的思考

22. 结束 谢谢