博客

F5 SOC: 实时关闭恶意脚本

Lori MacVittie 缩略图
洛里·麦克维蒂
2015 年 12 月 14 日发布

人是信息安全链中最薄弱的环节,这在某种程度上是事实。 真正最薄弱的环节是浏览器。

目标

这是因为浏览器是那些没人真正关注的应用程序之一,可能是因为在大多数情况下,信息安全专业人员根本无法控制它。 如果客户不及时更新浏览器,他们可能会(而且经常)被哄骗甚至威胁不支持在线应用程序,但除此之外呢? 根本没有办法管理浏览器的各个组件,因为这些组件可能会(而且确实)导致攻击。

但您可以对其进行监控,至少在其操作员与您的站点交互时可以进行监控。 正是这种监控最近帮助 F5 SOC 检测并关闭了一个恶意小脚本。

F5 SOC 积极支持我们的WebSafe 产品,并花费大量时间研究威胁金融机构及其客户的各种恶意软件和脚本。 WebSafe 保护客户和组织的方法之一是积极(实时)关注客户与应用程序之间对话的各个方面。由于积极关注实时通信,因此当出现可疑情况时,它能够检测到并提醒我们的安全分析师(双关语)。 事实上,它最近确实这么做了(如果你想准确的话,应该是 2015 年 11 月 10 日 18:54(UTC)),当时它注意到一个它认为是恶意的脚本被注入到与金融应用程序交互的浏览器中。

向浏览器注入脚本(通常称为 MItB 或“浏览器中的人”攻击)通常是通过现有的恶意软件(例如,由于成功的网络钓鱼尝试(令人惊讶的是, 45% 仍然会成功)或通过受感染的浏览器插件下载和安装的木马)完成的。

这些恶意脚本经过精心设计,能够轻易诱骗用户提供超出实际需要的信息、监视通信并窃取凭证、财务账户信息以及任何其他可能为他们以后成功实施欺诈提供手段的东西。 而且它们很难被发现,除非你主动监控浏览器,以使攻击者的爪牙恶意软件不容易绕过它们。

这是 WebSafe 等解决方案的优势之一,因为它能够实时监控活动,而不需要最终可识别的代理或浏览器插件。 这就是导致这次最新的脚本注入攻击在数小时内被发现并随后关闭的原因。

您可以在此处了解有关 WebSafe 的更多信息,并在 F5 SOC 的报告中深入了解此恶意脚本的技术细节。

在外面要注意安全!