基于浏览器的网络威胁已成为当今网络安全专业人士面临的最大问题之一。浏览器功能强大，数据丰富，如果受到攻击，就会泄露大量个人隐私数据，给网络犯罪分子可乘之机。

浏览器依赖于许多第三方插件(如Java，Flash和ActiveX)来执行各种任务。但是，这些插件往往带有安全漏洞，网络犯罪分子可以利用这些漏洞来访问系统，并且允许攻击者通过安装勒索软件，泄露数据和窃取知识产权等方式造成严重破坏。浏览器不仅是理想的黑客攻击目标，而且很难检测到基于浏览器的Web威胁。

基于浏览器的网络威胁是如何攻击的？

一个Windows用户访问看似良性但现在是恶意网站，一旦发生连接，用户的浏览器就开始与站点进行交互，浏览器会立即从恶意网站下载并开始执行Java文件。Java文件包含恶意代码，能够捕获受害者的数据。以下是典型情况的代表：

1、Flash代码调用PowerShell，这是一个功能强大的OS工具，可以执行管理操作并存在于每台Windows机器上。

2、Flash通过其命令行界面向PowerShell提供指令。

3、PowerShell连接到攻击者拥有的隐藏命令和控制服务器。

4、命令和控制服务器将恶意PowerShell脚本下载到受害者的设备，该设备捕获或查找敏感数据并将其发送回攻击者。

5、在攻击者达到目标后，Java，Flash和PowerShell脚本将从内存中删除，基本上没有任何违规记录。

如何防范基于浏览器的网络威胁

有一些方法可以抵御基于浏览器的攻击。即使没有文件，最新和最先进的恶意软件检测技术也可以评估Java和Flash数据。这些创新工具从设备的内存中提取Java和Flash内容，并检查静态和动态异常，例如：

(1) 静态 - 结构异常

数组或字符串中存在不寻常的shellcode；

缺少或添加细分；

嵌入文件；

可疑的函数参数；

代码注入的证据，如隐藏的iframe或异常标记；

代码混淆的迹象，例如编码，或特定的Java函数，如加密或指纹识别；

利用的迹象 - 结构相似性，签名。

(2) 动态 - 行为异常

异常进程行为 - 代码可能不会丢弃文件但可能会导致网络连接异常，或者尝试启动异常进程；

堆喷涂 - 通过利用浏览器漏洞将代码插入预定位置；

尝试修改系统文件或组件；

与已知恶意站点或命令和控制中心的连接；

逃避战术如拖延。

虽然通过分析Java和Flash内容，可以查找问题异常，但这是不切实际的。对每个实例进行全面测试至少需要一定程度的行为分析，这可能需要60秒或更长时间。

过滤方法可以评估基于浏览器的威胁

良好的恶意软件检测引擎可以分阶段评估代码，而不是让每个Java实例都进行完整的静态和动态分析。在初始阶段，引擎仅执行静态分析，不需要执行代码。由于恶意软件检测系统可以实时执行此操作，因此可以在此级别评估所有Java和Flash内容。成功通过此过滤器的代码，大部分将在正常操作期间执行，无需进行其他测试。

恶意软件不断发展，企业必须这样做

由于传统的反恶意软件产品几乎不可能有效地评估所有Java和类似的基于浏览器的对象，因此企业通常容易受到这些新威胁的攻击。为了有效地保护自己，企业还必须不断发展并不断升级其威胁防御工具，以应对恶意软件的最新变化，努力实现过滤方法，实时评估所有代码，并使用完整的动态分析测试可疑代码。