深入了解并防御驱动式下载攻击

本文章是 Microsoft Security 博客 “What You Should Know About Drive-By Download Attacks – Part 2”（2011 年 12 月 13 日发布）的翻译版本。

在这个由两部分组成的博客的第一部分中，我们解释了驱动式下载攻击的工作原理。这些攻击往往很复杂，因为它们使用多个重定向级别，在全球受感染的系统中托管攻击组件。尽管攻击在不断演变，但有许多措施可以保护系统免受这些攻击。这次，我们将介绍一些保护系统免受驱动式下载攻击的措施。

攻击者针对各种操作系统、Web 浏览器以及不同软件供应商的附加组件中的漏洞，但如果您使用平台进行电子邮件的发送和接收、即时消息的发送和接收，或用于浏览互联网，采取自我防护的预防措施非常重要。以下是保护系统免受驱动式下载攻击的一些预防措施：

保持所有软件最新

应用最新的服务包和安全更新，确保系统上安装的所有软件保持最新状态。这种方法仍然是保护系统免受漏洞利用的最有效方式。更新对象包括操作系统、Web 浏览器、生产力软件包、所有应用程序以及制造商预安装的软件。系统上安装的所有软件，无论是否使用，都应始终保持最新。

最小化攻击面

卸载未使用或不需要的软件和附加组件。这样可以减少攻击面，并减少系统上需要保持最新的软件数量。对于无法卸载的不必要软件，请禁用它。

采用新软件

数据显示，当旧平台、Web 浏览器和文档解析器成为目标时，攻击的成功率会提高。如果可能，请使用最新版本的操作系统、浏览器、文档解析器等。例如，从以下显示 Windows 各支持版本中恶意软件感染率的图表可以看出，Microsoft 恶意软件删除工具扫描发现，每 1,000 台 Windows XP Service Pack 3 系统中有 10.9 台被感染，而 Windows 7 Service Pack 1 系统（32 位）中仅有 1.8 台。

谨慎浏览

作为用户，谨慎选择连接的网站，并限制企业资产可能连接的网站。在以管理员身份登录系统时，不要浏览互联网。如果必须浏览，请使用权限受限的账户，如标准用户账户。如果环境中有服务器，请勿使用该系统浏览互联网。这样可以保护服务器通常用于存储和处理的目录和数据。

在线互动时谨慎行事

不要轻率地打开电子邮件、进行即时消息交互或点击 URL，务必谨慎行事。

使用恶意软件防护软件

运行可信供应商发布的恶意软件防护软件，并保持其最新状态。

使用 Web 浏览器和搜索保护

利用最新 Web 浏览器和搜索引擎中内置的保护技术。例如，Internet Explorer 内置的 SmartScreen 过滤器通过阻止对恶意网站的访问和下载，保护系统免受已知分发恶意软件的网站侵害。使用恶意软件防护软件可以防止有害软件的下载。Internet Explorer 8 允许通过按站点添加 ActiveX 控件，将 ActiveX 插件限制在特定单一域。Internet Explorer 9 通过引入 ActiveX 过滤器，增强了管理可以使用 ActiveX 控件的网站的能力。启用 ActiveX 过滤器后，只有用户信任的站点才能运行 ActiveX 控件。此功能可以将 ActiveX 组件的执行限制在受信任的站点，从而减少攻击面。用户可以通过地址栏中的图标允许在特定站点运行 ActiveX 控件。IT 管理员还可以通过组策略启用 ActiveX 过滤器，限制用户从互联网区域下载 ActiveX 控件。

Bing 在为网络建立索引时，会评估页面是否包含恶意元素或是否执行恶意行为。通常，受感染网站的所有者也是受害者，因此网站不会被从 Bing 索引中删除。相反，当点击搜索结果列表中的链接时，会清晰显示警告，通知页面可能包含恶意软件。Bing 每月检测大量驱动式下载页面，并持续跟踪托管活跃驱动式页面的数十万个网站。更多详细信息，请参阅本博客的第一部分或 Microsoft 安全情报报告。

行业中的许多供应商正在努力保护用户免受这些攻击。例如，根据可信计算部门今年发布的关于安全缓解措施调查的主要发现，调查的主要 Web 浏览器客户端（如 Internet Explorer、Firefox、Safari 等）完全支持地址空间布局随机化（ASLR）和数据执行防止（DEP）。这些缓解措施使攻击者难以利用 Web 浏览器的漏洞。这是一个了不起的成就。然而，调查中 70% 的浏览器插件未启用 ASLR。这意味着，虽然 ASLR 在默认浏览器安装中已启用，但引入浏览器插件可能会降低 ASLR 的效果。

开发者和 IT 专业人员的额外指南：

供应商应在默认启用 DEP、ASLR、SEHOP、/GS 等漏洞利用缓解技术的情况下构建软件。有关构建方法的详细信息，请参阅 http://msdn.microsoft.com/ja-jp/library/bb430720.aspx。
使用 Microsoft 开发的免费 BinScope 工具，确保软件在启用 DEP、ASLR、SEHOP、/GS 的情况下构建。该工具可在 www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=90e6181c-5905-4799-826a-772eafd4440a 下载。
使用另一个免费工具 Enhanced Mitigation Experience Toolkit (EMET)，在面临攻击风险的关键应用程序中启用漏洞利用缓解技术。EMET 可在 http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409 下载。
有关这些缓解技术的更多信息，请参阅白皮书“软件漏洞缓解”（英文）。

目前尚无迹象表明攻击者会停止驱动式下载攻击。只要投资有回报，攻击者就会继续使用这种技术。然而，开发者、管理员和互联网用户可以采取行动保护系统免受侵害。我们希望这个由两部分组成的博客中提供的信息能帮助您理解这个问题，并实践有效的自我防护措施。

可信计算部门
总监
Tim Rains（蒂姆·雷恩斯）