Social beskyttelse og tilføjelse af systeminfektionsklasse

Indledning

Dette dokument omhandler tilføjelse af metadataoplysninger om signaturer, der er tilføjet i 14.0.0-versionen.

Krav

Kravene bag denne funktion er:

  • Funktion til visning af brugerens forskellige oplysninger i tilfælde af angreb med relation til sociale netværk.

  • Funktion til kørsel af værktøjer som f.eks. NPE (eller foreslå dette) på et system, der udløser signaturer efter en infektion.

    Udfør f.eks. en scanning i "Agressiv tilstand" på systemet.

Design

Begge de ovennævnte krav bliver implementeret ved at foretage følgende ændringer:

Metadata XML (su-cr.md-fil)

Tilføje flere oplysninger i en signaturs metadata for at afspejle, om det er en signatur baseret på social beskyttelse, eller om det er en signatur efter en infektion. Disse bliver tilføjet i form af to nye noder som undernoder til noden <Event>.

For tiden indeholder xml-filen med metadata nogle få noder, der kan bruges til angivelse af netop disse oplysninger.

For eksempel noden <Category> Kategori - eller brug bitmasken for den eksisterende signaturs egenskaber til disse oplysninger. Med hensyn til kategori blev den imidlertid allerede brugt på en måde, hvor flere end én <Category>-node kan indstilles til et problem/en hændelse.

Dette design ville ikke fungere for noder, der kun er for enkeltforekomster, som <Class> og <SubClass>. Bitmasken for flag bruges til angivelse af signaturens disposition, når den udløses, og det blev derfor besluttet ikke at bruge den til dette formål.

Af disse årsager blev det vurderet, at tiden var inde til at oprette et helt nyt sæt noder.

Disse nye noder er <Class> og <SubClass>. Signaturens <Class> vil indeholde oplysninger, hvis noden er af typen "Socialt netværksangreb" eller "System inficeret". Signaturens <SubClass> vil indeholde yderligere klassificering af en enkelt klasse. For eksempel kunne "Social beskyttelse, angreb" have flere underklasser som "Likejacking" osv.

De faktiske noder i su-cr.md-noden <Event> vil se således ud:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Noderne bliver døbt <Class> og <SubClass>, og hver node vil indeholde id-attributten og navnet.

Kun id-værdien bliver gemt i filen metadata.dat, men af hensyn til læsbarheden ignoreres navnet, da det er en del af xml-filen.

Der kan kun være én forekomst af disse noder pr. <Event>-node.

Begge noder er valgfri, og de kan for eksempel være til stede for nogle hændelser og ikke for andre.

Noden <SubClass> kan kun være til stede, hvis der er en <Class>-node.

Ændringer i arbejdsgangen

Arbejdsgangen vil kræve, at der er en brugerflade til angivelse af klasse og underklasse for hver signatur. Dette kan være en rullemenu med foruddefinerede værdier, og den kan også være redigerbar. Hver klasse og underklasse bliver repræsenteret med et numerisk id, der er forskelligt fra nul. En id-værdi på 0 er reserveret til at repræsentere "Ikke angivet". For eksempel er klasse eller underklasse ikke angivet for en signatur. Se afsnittet Værdier, hvor du kan finde den gyldige klasse og underklasse og deres respektive id'er, som de er nu. OP'er forventes at angive værdierne for klasse og underklasse for alle de signaturer, der hører til klassen "Social beskyttelse" og "System inficeret". Andre signaturer kan beholdes, som de er nu. Det forventes også, at OP'er udvider på disse klasse- og underklasselister som de finder set relevant, men id'erne på den aktuelle liste må ikke ændres, da de bliver vist for programmerne og ikke kan ændres. Bemærk også, at filen su-cr.md skal indeholde id'et som en attribut for noderne <Class> og <SubClass>.

Signaturinfo

Signaturinfo vil indeholde to egenskaber mere, som er PROPERTY_CLASSIDCLASSID og PROPERTY_SUBCLASSID. De vil være tilgængelige for forespørgsler via grænsefladen til Signature Info, som er "IIDSSignatureInfo".

Metoden IIDSSignatureInfo::GetProperty() kan bruges på følgende måde til at få disse to DWORD.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Se filen IIDSSignatureInfo., hvor der er flere oplysninger.

Det ovenstående kodeeksempel er bare én af metoderne til at få disse værdier, og produktet skal allerede have kode til at hente ting fra signaturens infoobjekt.

Ved hjælp af den samme logik, med værdier for PROPERTY_CLASSID og PROPERTY_SUBCLASSID skulle være tilstrækkeligt.

Hændelse

Alarmhændelsen, som sendes til produktet, bliver opdateret til at indeholde følgende 3 felter:

SigClassID produktet får adgang til denne værdi og beslutter at reagere i tilfælde af Social beskyttelse eller System inficeret. En id-værdi på 0 betyder faktisk, at værdien ikke er angivet. Kodeeksempel til at hente værdien fra en advarselsmeddelelse:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Hvor pData er cc::IKeyValueCollectionConstPtr og <Event_Key> kan være enhver af de følgende værdier:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Se IDSEvents.h, hvor der er flere oplysninger.

Nogle af disse værdier for ClassID er #defineret i filen IIDSSignatureInfo.h. Disse værdier er:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Produktet skal sammenligne i forhold til SIG_CLASS_SOCIAL_PROTECTION og SIG_CLASS_SYSTEM_INFECTED.

Tak!

Tak fordi du brugte Norton-support.

< Tilbage

Hjalp disse oplysninger?

DOCID: v97291096_retail_da_dk
Sidst ændret: 16/06/2014