楔子
安全总是口水最足的行业,这至少能说明两点,一是这个领域的利润还足,二是这个领域的竞争过于激烈。竞争的核心是概念的推陈出新、炒作手法的娴熟与技术的真正进步。自趋势和瑞星首次提出云安全概念以来,已然成为安全软件的最大亮点,大有不谈云安全你就不是真正的安全之势。
在3Q大战之后,360迅速上市,成为IT领域里一匹黑马,本以为上市后360会沉默,结果前一段时间又因为秒级云鉴定与金山打得火热。事情起因是这样的,金山2012版推出,打出3D防御概念,并推出99秒云鉴定的说法,同3Q大战如出一辄,360立刻推出自已的新版,打出Pro3D全面防御体系,并推出1秒云鉴定,矛头直指金山。
揭秘云鉴定
以往云安全采用全文HASH的方式来进行云鉴定,这种技术的致命缺陷就是无法更好地识别病毒样本变种,制造者只需改动一个字节就能轻松绕过云安全系统。这次两家打出的秒级云鉴定概念,都是基于上述问题的改进版。两家共同点是摒弃了以往文件全文HASH方式而采用局部特征。
金山采用微特征加文件扫描的技术。微特征本质是对每个程序文件选取几个关键位置点,用这些关键位置点来标识每种类型的文件,每种类型的文件有不同的局部HASH提取算法,当匹配到相应的类型后,再选取一段数据来算局部HASH,然后传到云端去做黑白名单的匹配,当匹配不成功时,则会上传文件到云端,利用云端的后台扫描系统对文件进行二次鉴定。这种先判断关键点再取HASH的方式可以排除掉大量的文件,起到了加速作用。
360的云鉴定则采用模糊向量技术。模糊向量的本质是基于文件结构特征,即将文件分解成若干结构,按每个结构取特征,然后将特征分类,形成结构特征库,下发到本地,大部分文件通过这种通配的方式即可被鉴定,这是360声称可以1秒云鉴定的原因。
99秒 VS 1秒 VS 0秒,谎言还是炒作?
抛开厂商的自说自话,我们来分析一下当下最大的安全威胁是什么。经过20多年的发展,病毒已经进入泛技术时代,它们已不再追求技术实现的可能性,而是更加关注如何获得非法收入。在这种情况下,木马就成了最流行的病毒类型,而网站挂马则成了最流行的传播方式,每天会有成千上万的恶意链接和恶意程序产生,有些恶意链接甚至以秒为单位动态变换。
不幸的是,尽管每个主流安全厂商都有自己的捕获系统和交换渠道,仍然无法及时捕获所有样本,这些没有被任何厂商识别的样本就成了一种新的威胁群体--ODAY病毒。在云安全大行其道的今天,这种ODAY病毒则是最大的威胁,它们每多存活一天,就能给用户带来更多的经济损失。
无论是99秒、1秒仰或是0秒,讲得都是文件鉴定的速度,厂商在炒作这个概念的时候已经误导了用户,给他们形成一种文件鉴定速度高云安全就有效的心理预期。事实上云安全对用户真正的价值在于病毒样本的获取速度而不在于鉴定的速度,在最短的时间内将ODAY病毒变成可识别的病毒,才能真正意义上减免用户的损失。
下面我们做个小测试来看一下"秒杀"级云安全引擎对样本的捕获速度。我们通过跟踪挂马网站获得了768个0day样本,先扫描一次,然后每隔一天再扫描一次,病毒识别曲线如下图所示:
1小时后,金山和QQ的识别率在20%以下,360可以达到40%,24小时后,金山和QQ对样本的查出率在30%左右,360达到60%,而样本的全部查杀,则都在三天以后。也就是说,三天以后,这些病毒对用户的危害才能减少到0。如果大量的ODAY病毒无法及时捕获,后端分析再强大也形同虚设,普通用户中毒后,是很难找到可疑文件并上传云端系统去鉴定的,因此如何建立更强大的样本捕获系统,比大家拼云鉴定的速度更为重要。
重塑动态虚拟技术,扼制ODAY病毒
目前主流安全厂商都是用主动防御的思想来找到未知样本,即设定宽泛的规则,将触发这些规则的文件上传到云端分析。这种思路会产生几个问题:用户损失大量流量;厂商得到大量无效样本;只能通过庞大的客户端来进行动态监控并上报。
而事实上,应对ODAY病毒最有效的方式就是基于动态虚拟技术的启发式查毒。提到动态虚拟技术,可以专业人士会立刻想到瑞星的虚拟机技术,其实这两者有相同的地方,也有不同。
瑞星的虚拟机技术就是基于这个原理,它虚拟了CPU常用的X86指令,将文件加载到这个虚拟机上去执行,然后分析和判断文件的行为。这种技术在感染式病毒的时代,还十分有效,但是到了木马横行的今天就毫无用处了。原因在于目前大部分的病毒是木马形式,木马里大量使用了操作系统提供的API,操作系统的API是一个相对封闭的指令集,需要做输入、输出和堆栈的处理,情况非常复杂,而瑞星的虚拟机并没有对此做处理,因此对木马的查杀和壳的处理效果很不好。
我们今天提到的动态虚拟技术,是指除了CPU指令,还要模拟病毒常用的的系统API,以及对病毒常用的反跟踪与调试手段的识别,我们在研究病毒的过程中,发现很多病毒采用浮点MMX指令来做加密与变形手段,因此动态虚拟机不但要支持X86指令集,还要支持多媒体扩展的MMX浮点指令集,而在未来,还要支持非X86架构的指令以及其它操作系统的API,这是一个苦差事,现在已经很少有安全厂商愿意在这上面上功夫。
动态虚拟技术已经脱离了监控的概念,任何文件不需要真实运行就能看到它的行为,如果把这一点应用到爬虫系统中,就能够直接判断链接的末端是否是病毒而直接收集过来,无须再进入云端分析系统。另一方面,动态虚拟技术天生对ODAY病毒有良好的防御作用,就象电影《少数派报告》里描绘的那样,可以在虚拟的空间里先再现犯罪行为,然后在真实的空间里去防御它,这其实要比先让病毒运行,然后看动作,然后再防御的主动防御思想,要先进很多。
当安全流于市场炒作的技巧时,往往会使厂商失去继续研究技术的踏实心态,使用户失去判断真伪的能力。安全需要包装,但是安全更需要抛弃那些浮燥,静下心来踏实做技术的学究式心态。从跟百锐信息安全实验室主创人员接触的过程中,小编可以明显感觉到百锐是一个不懂得商业炒作,而只专注做技术的团队,而在内部测试时,小编也惊叹于百锐产品所表现出来的专业水准,我们事实上希望的是,在安全的道路上,多给用户一些辨别是非的能力而自己少些是非,因为用户需要的是真正的安全。
