Microsoft Research
Zozzle erkennt zuverlässig Javascript-Schadsoftware
Das Forschungsprojekt Zozzle ist mit Training in der Lage, Javascript-Schadcode an für einen Angriff typischen Merkmalen zu erkennen. Dabei stört sich Zozzle auch nicht an Codeverschleierung oder an neuartigen Angriffen.
Zozzle ist ein von Microsoft Research entwickeltes Werkzeug, das in einem Browser platziert wird und dort Javascript-basierten Schadcode erkennt. Damit Schadcode gut erkannt wird, muss der Code allerdings in lesbarer Form vorliegen. Verschleierter Programmcode (obfuscated code) würde die Erkennung erschweren. Die Technik der Verschleierung wird nicht nur bei Schadcode verwendet, sondern auch bei normalem Code.
Um dieses Problem zu umgehen, muss Zozzle in die Javascript-Engine eingebunden werden. Nach einer Phase des Trainings soll Zozzle zuverlässig funktionieren und eine Falsch-Positiv-Rate von einem Bruchteil eines Prozents haben. Das Training funktioniert ähnlich wie das Trainieren von Bayes-Spamfiltern mit Beispielen. In der Trainingsphase lernt Zozzle typische Erkennungsmerkmale in Javascript, die auf Schadcode schließen lassen. Signaturen und entsprechende Signaturupdates sind also nicht notwendig.
Zozzle unterscheidet sich von dem Tool Nozzle, das die Forscher ebenfalls betrachtet haben. Nozzle schaut sich das Verhalten des Javascript-Codes an und schließt so auf einen Angriff. Der Overhead von Zozzle beim Betrachten von Javascript soll bei 2 bis 5 ms liegen und lässt damit Nozzle bei größeren Javascript-Dateien hinter sich. Nozzle hat den Forschern zufolge einen Overhead von zehn Prozent und mehr, der auf die eigentliche Codelaufzeit draufgeschlagen werden muss.
Die Forscher geben allerdings zu, dass es Angreifern gelingen könnte, Schadcode so anzupassen, dass er von Zozzle nicht mehr erkannt wird. Das Hauptaugenmerk der Entwicklung liegt aber bei einem Schadcodeerkenner mit besonders niedriger Last für den Rechner und sehr wenigen Falsch-Positiven (false positive), also der versehentlichen Klassifizierung von harmlosem Javascript-Code als Schadcode.
Tests von Zozzle im Vergleich zu Nozzle und Googles Safe Browsing zeigen ein hohes Potenzial. Alle Fälle, die Nozzle entdeckt hat, deckt auch Zozzle ab. Googles Lösung erkennt immerhin 80 Prozent der Nozzle-Fälle. Interessanter ist jedoch, dass Nozzle selbst nur ein Prozent der Angriffe erkannt hat. Google erkennt mit seiner Blacklist 30 Prozent der Angriffe, Zozzle kommt auf 69 Prozent. Von allen Angriffen werden 17 Prozent sowohl von Google als auch von Zozzle erkannt. Die beiden Werkzeuge ergänzen sich also. Googles Blacklist hat allerdings auch Seiten gelistet, die Teil eines Malware-Netzwerks sind, auf denen aber kein tatsächlicher Schadcode gefunden wurde. Zozzle hat aber auch einige Angriffe schlicht übersehen. Andere Angriffe wurden für Zozzle nicht aktiv, weil sie nur bestimmte Browser betreffen.
Zozzle ist noch im Forschungsstadium. Die Entwickler glauben, dass immer noch viel Arbeit vor ihnen liegt, bis sie Javascript präzise klassifizieren können. Zozzle kann sowohl in Browsern eingesetzt werden als auch im Offline-Crawler, der bei der Erstellung von Blacklisten hilft. Angaben zu einer möglichen Veröffentlichung der Software machen die Forscher nicht.
Weitere Informationen zu Zozzle stehen in dem PDF-Research-Paper von Microsoft.
Ja. Nett wäre aber auch wenn web.de hotmail usw. zusammenarbeiten würden. !und! wenn man...