服务热线:010-65014696

产品与解决方案

产品与解决方法第一层

椒图关注 FOCUS ON JOWTO

JDOC文档恶意检测

[2014-04-08]

随着信息获取、共享和传播的便捷,互联网也同时给用户带来了前所未有的混合威胁的风险。文档形式多种多样(PDF, DOC, XLS等),人们可以随时编辑和演示这些文档,这也给网络犯罪提供了可乘之机。当合法的文档被替换成包含恶意代码序列的文档时就会执行恶意代码。当阅读软件存在漏洞并打开恶意文档时,恶意的代码就悄悄地潜入了系统。

为了解决利用恶意文档进行黑客攻击,椒图科技自主研发了基于虚拟机的文档恶意检测系统(VMDAS),本系统采用自主研发的高性能虚拟处理器,结合虚拟内存仿真,环境仿真,二进制分析等多项技术,可对文档进行风险级别的评估,并对存在的风险进行报告,对于利用恶意文档实施的攻击,可进行试预警、检测和拦截,并能够通过特定的算法,分析、定位到恶意代码在文档中的具体位置,这也对用户日后取证工作提供了便利和依据。

JDOC系统的优势在于可以检测利用未知文档漏洞发动的攻击,能从根本上斩断黑客利用恶意文档发动攻击的黑手。

注:JDOC产品核心技术为我公司发明专利,专利号:201010526718.6

  

JDOC产品特点

-高性能虚拟处理器

-保证中毒文档无法危害到您的真实系统

-高效检测恶意代码的保障

-文档风险评估

-为您提供7x24小时对文档安全的评估

-对可疑文档实施报警,拦截

-恶意代码行为分析

-保障对攻击取证过程

-帮助安全人员快速定位攻击细节和意图

  

JDOC的重要性

攻击带有敏感信息的系统,从而实施偷窃或谋利的行为已经不是什么新鲜事儿了。政府、企业等都频繁使用文档。文档形式多种多样(PDF, DOC, XLS),许多人都可以对这些文档进行编辑和演示。可是在网络罪犯眼中, 哪里有数据传输,哪里就有机可乘。

当合法的文档文件被替换成包含恶意代码序列的文档文件时就会发生文档中毒。当阅读软件存在漏洞并打开中毒的文档文件时,恶意的代码就悄悄地潜入了系统。通常这些恶意代码往往会向用户的计算机系统释放大量的有害信息,现在最常见的负载有下载者和木马。

随着操作系统厂商对安全的重视,防火墙,IDS/IPS和杀毒软件的大量部署,常见的远程缓冲区溢出,sql注入等攻击方式已经越来越难进行利用,而针对文档类的漏洞攻击由于缺少有效的检测方式,成为了当今黑客攻击的主流攻击手段。黑客对中毒文档的利用方法通常分为2大类: 1.将中毒的文档包含在垃圾邮件的附件中,进行群发,这样虽然不能捕获敏感的数据信息,但是可以用来组建大规模的僵尸网络,而大规模的僵尸网络的危害是可见一斑的,如yahoo,ebay,amazon等大型网站都经历过ddos的洗劫。2.黑客有时会进行身份的伪装,将自己伪装成某位重要的人物,给特定的人物发送邮件,或传递文件,当被害人打开中毒文档时,那么被害人就被黑客完全控制了,黑客可以任意下载被害人的敏感资料,偷窃被害人的密码,甚至监视被害人的行为和窃听被害人的谈话。

现在常见的检测主要依赖于杀毒软件和IDS/IPS系统,前者主要通过特征码匹配来对恶意文档进行查杀,由于特征码分析的滞后性,这种检测手段仅仅能够检测存在已知漏洞的文档,对于未知文档类漏洞的检测却表现的无能为力,而恰恰黑客在对文档类漏洞利用时,更多的使用未知的文档类漏洞,并且对于时常变化的恶意代码,仅仅通过特征匹配,所以该方法是远远不能满足用户的安全需求的。而IDS/IPS系统他主要是对不可信的进程进行主动防护,可通常阅读软件的操作都列为了可信进程,所以对恶意代码的防护也存在一定的缺失。由于针对文档进行攻击的不能有效地进行检测,这对网络安全提出了新的挑战,根据木桶原理,最短的那根木板决定安全策略的最终成败,所以对中毒文档的检测成为了当前最迫切需求,为了解决这样的问题,基于虚拟机的恶意文档检测系统应运而生了。

虚拟机恶意文档检测系统是用于解决利用中毒文档进行黑客攻击的产品,本系统采用自主研发的高性能虚拟处理器,结合虚拟内存仿真,环境仿真,二进制分析等多项技术,可对文档进行风险级别的评估,并对存在的风险进行报告,对于利用中毒文档实施的攻击,可进行施预警、检测和拦截,并能够通过特定的算法,分析、定位到恶意代码在文档中的具体位置,这对用户日后对攻击的取证工作提供便利和依据。

本系统除了对已知的文档类漏洞进行防范外,也可以检测、防范利用未知漏洞发动的攻击。检测的核心在于使用虚拟计算技术来完成对中毒文档的虚拟执行,并通过虚拟处理器中的各种分析仪来分析文档是否存在风险。由于在该过程中并不依赖类似于杀毒软件的静态特征码,而更多的是通过中毒文档所进行的行为进行分析和评估,这样从根本上解决了静态特征码滞后性的问题,所以本系统对于利用未知漏洞发动的攻击,也可以顺利地进行检测,拦截和定位。这样就可以从根本上斩断黑客利用中毒文档发动攻击的黑手。