【51CTO.com 综合消息】
1 需求分析
随着计算机及通信技术的飞速发展,网络在带给人们便利的同时,也给病毒、木马的泛滥提供了温床,给国家、政府、企业及个人都带来了不可估量的损失。其中,木马程序造成的危害更是非常巨大的,也是非常危险的恶意程序。它能使远程用户获得本地计算机的最高操作权限,使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。
据国家计算机网络应急技术处理协调中心抽样监测统计,2008年我国境内感染木马控制端的IP地址达到438,386个,感染木马被控制的IP地址达到565,605个,发送立即邮件106次、实施信息窃取操作373次。“木马与僵尸网络监测”已成为了被CNCERT列于“被篡改网站监测、恶意代码捕获”之首的核心监测项目。
木马的大肆传播泛滥已给国家造成了巨大损失,2009年5月,工业与信息化部下发了关于印发《木马和僵尸网络监测与处置机制》的通知。采取了迄今为止最广泛、最有力的机制措施。明确了相关主管机构与广大的互联网用户各自的责任和义务,规定了对木马和僵尸网络的“监测和通报”、“处置和反馈”两个主要流程及通报内容。
国家保密局更是把“对互联网的保密检查、对特种木马的检测”作为当前保密科技研究及保密检查工作中需要关注的重点方向之一。
因此在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,已经成为当前信息网络安全监管或维护部门的重中之重。
#p#
2解决方案
木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。从这两点区别入手,控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,就可以对木马的检测和防范起到较为理想的效果。
鼎普科技积极跟踪市场需求、木马形势和国家相关政策,自主研发了鼎普木马监测与评估系统,指在对已知或未知木马进行监测与评估,综合分析木马行为特征,与此同时,对木马的最终目的——窃取关键信息进行分析判断有无感染木马或被窃取重要信息。
通常电脑逐台查杀的检查方式对于个人应用来说,还是很方便的,但对信息安全监管部门来说,这样的方式却是非常费时费力的,鼎普科技根据这一需求,开发了网络木马监测与分析评估系统。该系统首先通过网络监测模块扫描并分析网络中的所有主机,并进行木马特征分析与重要信息匹配,准确判断并定位出网络中感染木马的主机,然后再用单机检测模块去做深入检查,从而可以大大的提高整个网络中木马检测与分析的效率。
根据不同的应用环境需求,鼎普科技提供了两种形式的解决方案:检查版木马检测方案与监测版木马检测方案,分别用于随机性检查或长期性监测、评估某个网络中是否存在木马病毒,其中检查版由单机检测模块和网络监测模块组成,而监测版则以专用网络监测硬件平台为载体,仅由网络监测模块组成。
2.1快速探测的网络木马监测模块
网络监测模块可以根据用户需要,通过对网络数据的实时采集,对IP源地址、目的地址进行分析从而有效的监测网络中存在的木马,并进而准确定位感染的主机,之后即可利用单机检测模块有针对性的对感染木马电脑进行细致的检测,以致清除。该模块既可以安装在笔记本上,也可以专用硬件平台为载体,安装在笔记本上并配以单机检测模块,提供灵活、便捷的木马检测技术手段,可以方便检查部门随时检查某个网络;以专业硬件平台为载体,则可以长期部署在网络上,实现对木马的连续、实时监测。图1表示了监测版木马检测系统的具体部署拓扑图。
图1 典型安全检查综合部署图
由图1可以看出,该网络木马检测方案中,安装在一台专用设备上的网络木马监测模块部署在网络出口交换机镜像口或干路上,达到分析、判断并定位感染终端主机、重要信息还原的目的。具体实现的功能如下:
木马发现及报警阻断:在监测模块中添入已知高危木马的网络特征,可以及时准确的判别、阻断该木马的任何非法网络传输,实时报警;
高危IP、域名连接、端口的实时报警和统计:紧密配合履行工信部印发的《木马和僵尸网络监测与处置机制》中的要求,可通过系统管理界面按需加入工业与信息化部通报的木马控制端IP地址、恶意域名、端口等信息,从而进行木马匹配分析,分析出网络中感染木马的终端主机,获得主机的IP和MAC地址,定位到终端;
敏感IP、域名连接的实时报警和统计:固化了鼎普对A、B、C类公用地址研究分析的IP地址分类库;因此可以通过流经总出口的数据包实时分析内部某终端正在与美国、台湾、韩国、日本、欧洲等国家的某IP进行连接,且该库可以不断升级壮大,由此得出感染终端;
特种木马行为特征分析:通过设置IP地址严控的方式确定疑似木马的连接行为;通过网络连接端口来判断连接是否由木马生成,并发现网络中的与控制相关的协议,并通过协议与端口的比对,发现伪装协议通过合法端口来工作,如80端口复用的防火墙穿越技术;
未知木马基于重要信息内容的准确判断:对特征一无所知的未知木马,通过设置关键字的方式控制终端传输行为并报警。对重要信息、被木马恶意程序隐藏传输的电子邮件及附件、图片、文档等进行还原处理,可用于检查时确认泄漏内容的危害程度;如部署在网络干路上可进行实时阻断;
信息报文提取:自定义对重要信息进行筛选查阅。设置起始时间、结束时间、起始IP、结束IP、报文类型、应用协议、任务ID、文件类型等来筛选数据信息,方便查阅。可以在本地硬盘上保存当前选中的报文以便作更细致的分析。
输出统计分析报表:一是快速导航检测,用户登录系统管理界面后,只需点击一键,报表清晰的显示具体定位的感染终端;二是自定义检测,可按检查单位、部门、时间,准确定位报表。
在通过网络木马监测模块的准确定位后,即可使用单机木马检测模块针对感染木马的单机进行深度检测了。
#p#
2.2深入分析的单机木马检测模块
木马隐蔽技术的发展使得木马在目标系统中越来越隐蔽,传统的基于静态特征的木马检测技术,面对已知木马的各种隐蔽和变化检测能力明显不足,对于未知的木马更是无能为力,具有根本性的缺陷。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。图2显示了单机木马检测模块的全部功能。
图2 鼎普木马监测与评估系统功能
单机木马检测模块以光盘或防病毒U盘为载体,重点实现功能如下:
1、静态检测:静态木马库的对比,对已知的高危木马进行匹配分析,检测当前高危木马;
2、动态检测:从木马所要运行活动的几个方面对未知木马变种进行动态特征的深入分析:
- 启动方式检测——对可疑BHO、启动文件、注册表启动项、异常服务、文件关联方式等进行检测,从程序、进程自启动方面得到木马的相关信息。
- 通信方式检测——从通信方式来深度检测,包括可疑打开端口、反弹端口、复用端口等。
- 文件系统检测——对文件系统进行扫描,发现加壳文件及隐藏的文件和文件夹。
- 系统帐号检测——木马要窃取信息通常会先获得管理员权限,因此对于系统中的帐号进行检测,包括帐号所属组、上次登录时间、修改口令时间等,监测有无被木马添加的账号信息。
3、智能分析:对可疑进程进行智能分析,评估检测出的已知或未知木马在一定时间内的所有操作行为,如打开文件、写文件、打包文件等来确定这些可疑进程是否为木马。
4、报表审计:对终端一键检测、静态检测、动态监测及智能分析的结果生成统计审计报表信息。
#p#
3 优势效果分析
在当前安全检查木马工作中,木马检查产品种类繁多,其多对常规木马种类进行检查,且检查方式多为木马库对比或少许特征分析,相比之下鼎普木马监测与评估系统开拓创新,创造出了独具特色的检查评估平台,优势重点体现在以下几个方面:
针对性强,根据不同的行业特征,可进行关键字配置,针对窃取重要信息的高危木马和未知木马,实现准确的静态分析、敏锐的动态检测及智能跟踪分析;
建立完善的木马检测与评估体系,网络与单机共同进行深度检测评估,通过网络检测定位到终端,再对终端深度检测与综合分析评估,简洁高效;
独具特色的重要信息内容检查分析点,不论其为何种木马,其最终目的都是想窃取重要信息,因此鼎普科技开创了特色的从信息内容匹配、数据截获、数据报文还原的终极检测手段;
具有极强的扩展能力和自身提升能力,整个监测与评估系统构成了一个完整的闭环循环系统,先是网络上进行木马特征和信息内容分析,定位感染终端;再到终端上进行木马活动特性动态匹配智能分析,定位木马;最后由定位出的木马特征加入到网络监测模块中,便于以后的木马监测与评估,这就构成能够不断自我成长壮大,自我提升的木马监测与评估平台;
自身防木马病毒能力强、适应多样的应用环境,并具有极高的兼容性和操作简单便捷性;通过光盘或防病毒U盘载体保障木马监测程序的安全性。
#p#
4 结束语
鼎普科技凭借对计算机病毒多年来的研究分析,采用静态匹配与动态分析相结合、网络检测与单机检测相结合的独特检测方式,可以有效的批量检测出网络中感染木马的终端主机,并进而实施单机深度木马检测,是一种非常简洁高效的木马检测综合解决方案。
木马进入新经济时代后,网络的提速让木马更加的泛滥,如何通过千变万化的木马形式分析出其编制的根本,并开发出有效的检测软件,这将是一项长期的任务。鼎普科技将不断研究新情况,解决新问题,密切关注防病毒领域的未来走向,为业界提供更安全更可靠更高效的解决思路。
