Ochrana na sociálních sítích a přidání tříd infekcí systému

Úvod

Tento dokument popisuje přidání informací o podpisech do metadat, které jsou přidány ve verzi 14.0.0.

Požadavky

Požadavky související s touto funkcí:

  • Schopnost zobrazit uživateli různé informace v případě útoků souvisejících se sociálními sítěmi.

  • Schopnost spustit nástroje, jako například NPE (nebo navrhnout jejich spuštění), v systému, který aktivuje podpisy po infekci.

    To znamená provést prověřování systému v „agresivním režimu".

Provedení

Oba výše uvedené požadavky budou uskutečněny pomocí následujících změn:

Soubor XML metadat (soubor su-cr.md)

Přidejte další informace do metadat podpisu, aby bylo vyjádřeno, zda se jedná o podpis založený na ochraně na sociálních sítích nebo podpis po infekci. Ty budou přidány v podobě dvou nových uzlů jako podřízené prvky uzlu <Event>.

Soubor XML metadat aktuálně obsahuje několik uzlů, které lze použít k uvedení těchto stejných informací.

Například uzel <Category>, nebo k umístění těchto informací použijte existující bitovou masku vlastností podpisu. V případě kategorie byl však již použit způsobem, ve kterém lze pro problém/událost nastavit více než jeden uzel <Category>.

Toto provedení by nefungovalo pro uzly pouze s jednou instancí, jako například <Class> a <SubClass>. Bitová maska příznaků se používá k uvedení rozmístění podpisu při aktivaci. Její použití pro tento účel bylo tedy zamítnuto.

Z těchto důvodů bylo vhodné vytvořit celou novou sadu uzlů.

Tyto nové uzly jsou <Class> a <SubClass>. Uzel <Class> podpisu bude obsahovat informace, zda je podpis „útokem na sociálních sítích" nebo „infekcí systému". Uzel <SubClass> podpisu bude obsahovat další klasifikaci jedné třídy. „Útok na sociálních sítích" může mít například více podtříd, jako je „Like Jacking" atd.

Skutečné uzly v uzlu su-cr.md <Event> by vypadaly následovně:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Uzly budou pojmenovány <Class> a <SubClass> a každý uzel bude obsahovat atribut ID a název.

V souboru metadata.dat bude uložena pouze hodnota ID, hodnota názvu bude ignorována, je součástí souboru XML pro účely čitelnosti.

Každý uzel <Event> může mít pouze jednu instanci těchto uzlů.

Oba uzly jsou volitelné, což znamená, že mohou být přítomny pro některé události a pro jiné nemusí.

Uzel <SubClass> může být přítomen, pouze pokud je přítomen uzel <Class>.

Změny pracovního postupu

Pracovní postup bude vyžadovat poskytnutí uživatelského rozhraní pro účely uvedení uzlu třídy a podtřídy pro každý podpis. Může jít o rozevírací seznam s předvyplněnými hodnotami a možnostmi úprav. Každá třída a podtřída bude znázorněna nenulovým číselným ID. Hodnoa ID 0 je vyhrazena pro znázornění „nulového nastavení". To znamená, že u třídy nebo podtřídy není nastaven podpis. Nahlédněte do části Hodnoty, ve které se nachází platná třída a podtřída a jejich příslušná aktuální ID. Předpokládá se, že systémy OPs nastaví hodnoty třídy a podtřídy pro všechny podpisy, které patří do třídy „Ochrana na sociálních sítích" nebo „Infekce systému". Ostatní podpisy lze prozatím ponechat tak, jak jsou. V případě systémů OPs se také předpokládá, že rozšíří tento seznam třídy a podtřídy, jak uznají za vhodné, avšak neměla by být změněna ID aktuálního seznamu, neboť budou zobrazena produktům a nelze je změnit. Také upozorňujeme, že soubor su-cr.md bude vyžadovat uvedení ID jako atributu pro uzly <Class> a <SubClass>.

Informace o podpisu

Informace o podpisu budou obsahovat dvě další vlastnosti, a to PROPERTY_CLASSIDCLASSID a PROPERTY_SUBCLASSID. Ty budou dostupné pro dotazování prostřednictvím rozhraní SignatureInfo, a to „IIDSSignatureInfo".

Ke získání těchto dvou celých čísel DWORD lze metodu IIDSSignatureInfo::GetProperty() použít následujícím způsobem.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Další informace získáte nahlédnutím do souboru IIDSSignatureInfo.h.

Výše uvedený vzorový kód představuje pouze jeden ze způsobů získání těchto hodnot. Produkt by již měl obsahovat kód pro extrahování položek z objektu informací o podpisu.

Použití stejné logiky, avšak s hodnotami PROPERTY_CLASSID a PROPERTY_SUBCLASSID, by mělo být dostatečné.

Událost

Událost výstrahy, která je odeslána do produktu, bude aktualizována tak, aby obsahovala následující 3 pole:

SigClassID V případě, že jde o ochranu na sociálních sítích nebo infekci systému, získá produkt přístup k této hodnotě a určí, zda provést akci. Hodnota ID 0 ve skutečnosti znamená, že tato hodnota není nastavena. Vzorový kód pro extrahování hodnoty z výstrahy:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Kde pData je cc::IKeyValueCollectionConstPtr a <Event_Key>, může jít o libovolnou z následujících hodnot:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Další informace najdete v souboru IDSEvents.h.

Některé hodnoty atributu ClassID jsou #definovány v souboru IIDSSignatureInfo.h. Mezi tyto hodnoty patří:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Produkt by měl být porovnán oproti SIG_CLASS_SOCIAL_PROTECTION a SIG_CLASS_SYSTEM_INFECTED.

Děkujeme!

Děkujeme vám za využití podpory aplikací Norton.

< Zpět

Byla tato informace užitečná?

DOCID: v97291096_retail_cs_cz
Poslední úprava: 16. 06. 2014