La fonctionnalité de recherche est en construction.
La fonctionnalité de recherche est en construction.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

Identifying Evasive Code in Malicious Websites by Analyzing Redirection Differences Identifier le code évasif dans les sites Web malveillants en analysant les différences de redirection

Yuta TAKATA, Mitsuaki AKIYAMA, Takeshi YAGI, Takeo HARIU, Kazuhiko OHKUBO, Shigeki GOTO

  • Vues en texte intégral

    0

  • Citer

Résumé:

Les chercheurs/fournisseurs en sécurité détectent les sites Web malveillants sur la base de plusieurs fonctionnalités de sites Web extraites par l’analyse HoneyClient. Cependant, les attaques basées sur le Web continuent d'être plus sophistiquées, parallèlement au développement de techniques de contre-mesure. Les attaquants détectent le client Honey et échappent à l'analyse à l'aide d'un code JavaScript sophistiqué. Le code évasif identifie indirectement les clients vulnérables en abusant des différences entre les implémentations JavaScript. Les attaquants diffusent des logiciels malveillants uniquement aux clients ciblés sur la base des résultats de l'évasion tout en évitant l'analyse des clients. Par conséquent, nous sommes confrontés à un problème dans la mesure où les clients Honey ne peuvent pas analyser les sites Web malveillants. Néanmoins, nous pouvons observer la nature de l'évasion, c'est-à-dire que les résultats de l'accès à des sites Web malveillants en utilisant des clients ciblés sont différents de ceux obtenus en utilisant des clients miel. Dans cet article, nous proposons une méthode d'extraction de code évasif en tirant parti des différences ci-dessus pour étudier les techniques d'évasion actuelles. Notre méthode analyse les transactions HTTP d'un même site Web obtenues à l'aide de deux types de clients, un vrai navigateur en tant que client ciblé et un émulateur de navigateur en tant que client miel. Suite à l’évaluation de notre méthode avec 8,467 20,272 échantillons JavaScript exécutés sur XNUMX XNUMX sites Web malveillants, nous avons découvert des techniques d’évasion jusqu’alors inconnues qui exploitent les différences entre les implémentations JavaScript. Ces résultats contribueront à améliorer les capacités d’analyse des clients miel conventionnels.

Publication
IEICE TRANSACTIONS on Information Vol.E101-D No.11 pp.2600-2611
Date de publication
2018/11/01
Publicisé
2018/08/22
ISSN en ligne
1745-1361
DOI
10.1587/transinf.2017ICP0005
Type de manuscrit
Special Section PAPER (Special Section on Information and Communication System Security)
Catégories
Sécurité des applications mobiles et du Web

Auteurs

Yuta TAKATA
  NTT Secure Platform Laboratories
Mitsuaki AKIYAMA
  NTT Secure Platform Laboratories
Takeshi YAGI
  NTT Secure Platform Laboratories
Takeo HARIU
  NTT Secure Platform Laboratories
Kazuhiko OHKUBO
  NTT Secure Platform Laboratories
Shigeki GOTO
  Waseda University

Mots-clés

Table des matières