Schutz für soziale Netzwerke und neue Systeminfektionsklasse

Einführung

In diesem Dokument werden Metadateninformationen zu Signaturen beschrieben, die in Version 14.0.0 hinzugefügt werden.

Anforderungen

Für diese Funktion gelten folgende Anforderungen:

  • Möglichkeit der Anzeige unterschiedlicher Informationen im Falle von Angriffen auf soziale Netzwerke.

  • Möglichkeit, Tools wie NPE auf einem Computer auszuführen (bzw. dies anzuregen), der Signaturen bei einer Infektion auslöst.

    Anders gesagt, Ausführen eines Systemscan im "Agressivmodus".

Design

Die oben genannten Anforderungen werden durch folgende Änderungen implementiert:

Metadata XML (Datei "su-cr.md")

Erweitern der Metadaten einer Signatur, um klarzustellen, dass es sich um eine Signatur bezüglich sozialer Netzwerke oder einer Systeminfektion handelt. Dazu werden unter dem Knoten <Event> zwei untergeordnete Knoten erstellt.

Die Metadaten-XML-Datei enthält derzeit einige Knoten, die zum Angeben dieser Informationen verwendet werden können.

Für den Knoten <Category> können Sie die die vorhandene Bitmaske für Signatureigenschaften verwenden. Es können jedoch bereits mehrere Knoten <Category> für ein Ereignis festgelegt werden.

Dieses Design würde für nur eine Instanz nicht funktionieren, nur für Knoten wie <Class> und <SubClass>. Da die Bitmaske "flags" zum Angeben der Disposition der Signatur bei der Auslösung verwendet wird, wurde entschieden, sie nicht für diesen Zweck zu verwenden.

Daher ist es angebracht, einen ganz neuen Satz Knoten zu erstellen.

Diese neuen Knoten heißen <Class> und <SubClass>. Die <Class> (Klasse) der Signatur enthält Infos, wenn die Signatur "Social Network Attack" oder "System Infected" ist. Die <SubClass> (Unterklasse) der Signatur enthält weitere Einteilungen der Klasse. Beispiel: Die Klasse "Social Network Attack" kann mehrere Unterklassen wie "Like Jacking" enthalten.

Die tatsächlichen Knoten in der Datei "su-cr.md" im Knoten <Event> würden dann folgendermaßen aussehen:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Die Knoten heißen <Class> und <SubClass> und enthalten jeweils das Attribut "ID" und den Namen.

Nur der Wert von "ID" wird in der Datei "metadata.dat" gespeichert, der Name wird ignoriert, da er Teil des XML zur besseren Lesbarkeit ist.

Pro <Event>-Knoten darf es jeweils nur eine Instanz dieser Knoten geben.

Beide Knoten sind optional, d. h. sie müssen nicht für alle Ereignisse vorhanden sein.

Der Knoten <SubClass> kann nur angegeben werden, wenn der Knoten <Class> vorhanden ist.

Änderungen am Arbeitsablauf

Es ist eine UI zum Angeben von "Class" und "SubClass" für jede Signatur erforderlich. Dies könnte eine Dropdown-Liste mit vorgegebenen Werten mit Möglichkeit der Bearbeitung sein. Jede "Class" und "SubClass" wird durch eine nummerische ID ungleich Null dargestellt. Der ID-Wert "0" ist für "Nicht festgelegt" reserviert. D. h. die "Class" bzw. "SubClass" ist für eine Signatur nicht festgelegt. Der Abschnitt "Values" enthält die ab heute gültigen Werte für "Class" und "SubClass" sowie deren IDs. OPs legt die Werte von "Class" und "SubClass" für alle Signaturen der Klasse "Social Netzwork Attack" und "System Infected" fest. Andere Signaturen können im vorliegenden Zustand belassen werden. OPs soll außerdem die Liste der Werte für "Class" und "SubClass" bei Bedarf erweitern. Die IDs der aktuellen Liste dürfen jedoch nicht geändert werden, da diese in den Produkten angezeigt werden. Beachten Sie außerdem, dass die die Datei "su-cr.md" die ID als Attribut der Knoten <Class> und <SubClass> enthalten muss.

Signature Info

Der Abschnitt "Signature Info" wird die beiden neuen Eigenschaften PROPERTY_CLASSIDCLASSID und PROPERTY_SUBCLASSID enthalten. Diese können über die SignatureInfo-Schnittstelle, nämlich "IIDSSignatureInfo" abgefragt werden.

Die Methode "IIDSSignatureInfo::GetProperty()" kann folgendermaßen zum Abrufen der beiden folgenden DWORD-Einträge verwendet werden.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Weitere Informationen finden Sie in der Datei "IIDSSignatureInfo.h".

Der obige Beispielcode ist nur eine Möglichkeit zum Abrufen dieser Werte. Das Produkt sollte bereits Code zum Extrahieren von Elementen aus dem Signaturinfoobjekt enthalten.

Der Einsatz derselben Logik mit den Werten PROPERTY_CLASSID und PROPERTY_SUBCLASSID sollte ausreichen.

Ereignis

Das Ereignis "Alert", das an das Produkt gesendet wird, wird mit den folgenden drei Feldern aktualisiert:

SigClassID: Das Produkt greift auf diesen Wert zu und greift ein, wenn es sich um "Social Network Attack" oder "System Infected" handelt. Der ID-Wert "0" bedeutet, dass der Wert nicht festgelegt ist. Beispielcode zum Extrahieren des Werts aus einer Warnmeldung:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Dabei ist "pData" "cc::IKeyValueCollectionConstPtr" und <Event_Key> kann einen der folgenden Werte haben:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Weitere Informationen finden Sie in "IDSEvents.h".

Einige der Werte von "ClassID" sind in der Datei "IIDSSignatureInfo.h" definiert. Sie lauten:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Das Produkt sollte folgend Werte vergleichen: SIG_CLASS_SOCIAL_PROTECTION und SIG_CLASS_SYSTEM_INFECTED.

Danke!

Vielen Dank, dass Sie den Norton-Support verwendet haben.

< Zurück

Haben Ihnen diese Informationen weitergeholfen?

DocID: v97291096_retail_de_de
Zuletzt bearbeitet: 16/06/2014