【51CTO.com 综合消息】自03年SARS以来,类似这种具备广泛传染性的病毒事件屡见不鲜,从禽流感再到现在的甲型H1N1,可谓“一波未平,一波又起”。
笔者于2003年写过一篇“从SARS看网络安全预警与应急保障体系”,主要谈的是面对类似SARS这种突发的网络安全事件中检测、预警、应急体系的粗浅思路,而时隔6年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
一、木马和流感病毒之间的类比
根据卫生专家的定义,甲型H1N1流感病毒属于病毒家族中正黏液病毒科,可以分为l5个H亚型。 流感病毒的一大特性就是多变性。如果人流感病毒和禽、猪流感病毒经过抗原转换形成新的人类流感病毒毒株,就可以在人与人之间传播。人群对这种新的病毒毒株没有免疫力。本次北美发现的A/H1N1病毒就具有来自猪、禽类和人类的基因片段,因此防范这种病毒还是有比较大的挑战性。
木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是:木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
根据木马程序对计算机的具体控制动作方式,可以把现存的木马程序分为以下的几类:
1.远程访问型木马
远程访问型木马是现在最广泛的特洛伊木马。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。
2.密码发送型木马
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
3.键盘记录型木马
键盘记录型木马只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4.毁坏型木马
大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间灰飞烟灭。
5.开启后门型木马
如:FTP型木马就是打开被控制计算机的21端口 (FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
6.下载型木马
下载型木马是近年来出现一种新型木马,本身不对电脑做破环,但该木马一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地。这些木马以“集群作战”的方式,从各个途径彻底破坏用户电脑安防体系。木马下载器具有很强的驱动级自我保护能力,可以让杀毒软件的普通查杀模式全都失效,并且传播途径非常广泛,目前主要方式是通过网页挂马的方式来进行。
结合H1N1的流感病毒和木马的特点,我们可以清楚看到它们的相同点和不同点。
相同点:
◆木马和流感病毒都是独立存在的个体。
◆对于植入对象有明确的危害性。
◆被植入对象都能够表现出一定症状。
不同点:
◆流感病毒具备自繁殖性和自动感染,因此危害比较大,而木马本身不具备繁殖性和自动感染的功能,只能依赖木马作者或获取源代码的人进行变种,并通过网页挂马、社会工程或结合蠕虫等方式扩大传播面。
◆流感病毒源自于自然界,形成机理比较复杂,涉及到医学、病毒学、基因学等多个层面,目前还需要进一步研究。而木马完全源自人为,形成模式有规律可循。 #p#
二、防治流感病毒和木马检测防范的异同
1.检测思路的异同
从SARS防治的成功经验来看,防范流感病毒的的首要条件就是及时发现疑似病例。具体的方式就是国家的高度重视,同时配合广泛的媒体宣传和报道。对于这种输入型的流感病毒,加强机场、出入境人员的检查和事后的人员追查。在医院专门设置发热门诊,进行有效过滤。这些都是从管理措施来提升检测的有效性。而另一个层面,从发现疑似病例到确诊这个阶段,就是纯技术层面的了。从检测模式来看,基本可以归为如下流程:发现确诊案例后提取其相关的样本,经过专门的检测机构进行一系列提取、分离等动作,并配合基因测定等方式,最终确定病毒样本,然后再进入到耐药性等一系列测试,以发现有效抗病毒的药物。
现在的木马的检测流程与这个过程有非常相似的地方,安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例,经过内部的脱壳、反编译等分析手段,发现木马的特征码,然后发布检测和清除方法。
如果说两者的不同点,还在于获取样本和分析周期上。相比较而言,对于单个木马的分析和特征提取比分析单个流感病毒更容易一些,投入相对小,分析周期快。但是从新样本增加的趋势来看,新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度,2008年新增木马的数量是27.6万个,比2007年相对上升了5.6%,这个数字相当的惊人。
2.检测思路面临的困境
流感病毒源自于自然界。科学发展到现在,虽然有了非常大的进步,但人类对于自然界的了解和掌控还只是前进了一小步。因此,对于流感病毒的及时检测发现注定存在一定的缺陷,我们很难在这个方面取得质的突破。
同样,对于新型木马检测目前在业界已经成了一个难题。在2000年初,传统的防病毒厂商在宣传产品优势的时候,木马样本库还是厂商重点宣传的指标,可以达到上万个。但是到了现在,木马的数量发展速度已经远远超出了防病毒厂商的特征库更新能力。不管防病毒厂商的收费模式如何变化,电脑用户的对于病毒厂商的抱怨越来越大,信任度也越来越低,以致于出现“杀毒软件”是否应该免费的巨大争论,传统的防病毒厂商面临着生存困境。究其根本原因,其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及,木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。传统的检测模式就像“黑客帝国”一样,演变为是一场人和机器人之间的战争。这是一场不对等的战役,几乎没有胜利的可能。不转变检测思路,木马泛滥的问题是无法解决的。 #p#
三、如何寻求检测思路的突破
不论是应对H1N1流感病毒还是网络安全中的木马问题,从理论角度来看都是可以用现有的动态安全模型PDR(Protect+Detection+Response)来考虑。
对于流感病毒,经过SARS的教训和经验总结,我们在防御、检测、响应三个层面都已经有了很大的提升。首先,医院的治疗条件在不断提高,中国的第一例HIN1患者成功出院就是证明。其次,在响应层面,对于这种事件从世卫组织到国家的各级政府、卫生防疫部门都建立起了应急响应机制和预案,也没有问题。唯一要提高的是检测速度,但是至少检测体系也初步建立起来,重点是在传播环境去及时布控和发现。
对于木马检测思路的突破,其实也主要体现在以下三个环节:
一是如何在传播链上及时发现木马。鉴于目前主流的木马传播方式是通过网页挂马模式,有必要对网页挂马的概念做一下阐述。网页挂马,其实并不是真的把木马放到合法网站上,而是在合法网站的网页上嵌入一段隐藏的恶意代码或脚本,当浏览网站的用户在访问网站时,这段代码或脚本在后台被执行,使得用户的计算机在不知不觉中到黑客控制的网站中下载了木马文件,从而被木马控制利用。据调查,2008年在遭受木马攻击的用户中,有53%的是通过网页挂马方式中招,而且这种比例在不断增加。可见,网站在木马传播链中起到非常关键的作用。因此,必须加强对网站的主动监查,一旦发现被挂马,及时采取措施,可以确保木马的危害面减小;同时通过检测挂马可以向上追溯,发现托管木马的恶意网站,及时查封并找到木马上传人员、木马制作人员,通过法律手段来进行管控。
二是如何及时判别新的木马和应对木马变种。基于特征检测的传统方式由于数量急剧膨胀,必然带来检测效果的滞后性,无法满足当前形势了。如果我们转换一种思路来看木马产生的本原,可能豁然开朗。木马是人用计算机语言来编写的,因此木马无论如何变化不会逃出人已知的范畴。木马要在计算机中运行,执行木马制作者的目的,就会有相应的行为和动作,而这种行为和动作是可以进行总结归纳的,归纳后形成的检测规则就可以来指导木马检测。这和通过一个一个积累特征方式形成特征库的相比完全不在一个数量级。
三是检测支撑平台选择上的思路转变。医学上对于一种病毒的检测分析往往会采用活体实验的方式,但是不可能在人身体上实验,通常就是选择小白鼠。但是木马不同于生物病毒,对人体没有危害,我们可以通过现在流行的虚拟化技术来模拟实际计算机运行环境,在这个我们称为“沙箱”中来进行木马采样和充分分析,而且即使有危害也不会扩散,很容易恢复。这一点和目前的一些厂商不一样,这些厂商为了拓宽木马的采集,是通过在实际网络计算机上来发现新的样本,似乎有把用户当“小白鼠”之嫌,并有可能获得用户的一些隐私信息,笔者认为有不可取之处。
同样,对于木马的整体防范体系来说,单从木马检测技术层面也不能完全解决,需要配合其它安全产品和技术,并做好组织保障和应急预案。做为信息安全的领航者,启明星辰也有全面的解决思路。 #p#
四、检测、防御、响应——360度网站安全解决方案
以网站安全为例,当前网站主要存在如下的风险。结合PDR模型,我们不难发现P、D、R都存在着一些问题。
 |
| 图1 |
1.网站防护脆弱:防不住SQL注入、XSS等网站常见的攻击。
2. 网站缺乏对安全漏洞、网页挂马的发现机制:往往是网站发生损失和利用造成伤害后才发现被入侵。
3. 响应对象不完整:由于缺乏有效的检测,很多网站有事故才响应,不知道有安全漏洞和入侵存在,自然没有及时响应,直至损失被发现才有响应,甚至响应也仅仅停留在恢复层面,而没有解决导致入侵存在的安全问题。
启明星辰是以网站安全360的视角来实施解决之道。根据这一视角,就需要一个不仅仅是简单,而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量,一方面加强防御,提升有效防护的时间(Pt),一方面缩小Dt(检测的时间)和Rt(响应的时间)。分解了每部分的安全需求,就可以使用明确的安全措施来完善网站安全。
根据网站安全360视角,国内信息安全领域的领军企业启明星辰,提供了完善解决网站安全的产品及服务,从防护、检测、响应三个方面入手,让网站安全变得更简单。据介绍,网站安全360包括三大部件:检测部件(安星服务)、防御部件(天清IPS)和响应部件(源代码审计和应急响应服务)。
1.检测部件
安星,是被称为网站安全体检专家的服务。它是启明星辰基于安全检测技术成果和专业远程监控安全服务团队,为客户互联网网站的WEB页面进行远程安全检查的有偿服务,包括检查网页挂马和网站漏洞两种可选项目。服务的过程将经过三个层次筛选,第一层是自动化的网页异常搜索,通过远程搜索发现网页异常;第二层进行精确筛选,排除肯定不是攻击的部分;第三层是专业人员的人工审查,确定漏洞或挂马存在的位置、形态、功能等并形成可视化报告。
2.防御部件
天清IPS,被称为WEB应用入侵防御系统,是专门针对WEB网站攻击进行优化的入侵防御产品。天清IPS是一个硬件设备,通常透明串行模式部署于网站前端,此产品运用了一套启明星辰的专利算法,因此成为目前为数不多能够做到精确阻断SQL注入攻击、XSS跨站脚本攻击的IPS产品,有效防范利用WEB漏洞的入侵网站并实施网页挂马、种植木马后门。
3.响应部件
源代码审计和应急响应服务,对网站应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除,同时可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查,找出源代码方面的问题,获得源代码问题所在以及安全修复建议或修改服务。该类服务由启明星辰国家级实验室的专业攻防技术团队(ADLAB)提供支持。一些缺乏专业外援团队的重要网站,能够通过这个专业团队的服务来强化网站系统的安全源代码设计,加强系统自身的安全性。
有了网站安全360各个部件发挥的作用,我们就可以降低网站入侵造成的损失。各部件作用如下图所示:
 |
| 图1 |
作为国内信息安全领域的旗舰企业,启明星辰在2009年通过一系列的产品和服务,将网站安全治理工作效率推向了一个新的高度,将防御产品、检测、修复服务相结合,运用更加简单而有效的方式强化网站自身的安全性,防范木马攻击,促进WEB业务应用的健康发展。
五、展望
流感病毒侵袭人类是很正常的事情,H1N1爆发也就有其必然性的。通过技术手段是可以控制SARS、天花等病毒,但这并不意味着人类在大自然中能所向披靡。 H1N1事件,时刻提醒人类在和病毒的斗争中不可大意。自然界的神秘莫测使我们无法控制新病毒不出现,但是我们可以通过良好的卫生生活习惯、完善的公共防疫体系和科学技术的突破来控制流感病毒的传播,降低流感病毒造成的危害,最终形成对流感病毒的免疫力。
互联网也是攻击事件和木马的孳生之地,既然我们应用了网络,也就无法不承受黑客、木马的攻击,而且攻击者往往会利用热点事件来集中攻击。如:受甲型H1N1流感事件影响,各类健康专题网站、地方卫生局类网站的关注度和访问量都持续攀升,也因此成为商业黑客选择攻击的目标。因此,及时发现和防范挂马、新型木马会是一个持久性的话题,这就需要安全从业人员不妨用跨界思维来拓宽思路,加强研究,打造一个全新的木马检测防范体系。
