2007年4月19日下午,由51CTO.COM網(wǎng)站主辦的“51CTO技術沙龍—企業(yè)病毒管理講座”在北京理工國際教育交流大廈召開。本次技術技術論壇吸引了近百名網(wǎng)絡工程師、項目經(jīng)理、網(wǎng)絡管理員等技術人員的關注。 短短的3個多小時里,來自趨勢科技三位專家從多方面對企業(yè)病毒管理和防范從進行了技術分析和實例講解,并詳細解答了與會技術人員提出的技術問題。
Web威脅分析
徐學龍:實際上我們來看一下在這么多年的發(fā)展過程中,網(wǎng)絡威脅是怎么樣來變化的。我們從最上面來看會看到各種網(wǎng)絡威脅的形態(tài),從目前我們會看到一個發(fā)展的主線,它經(jīng)過了文件性的病毒、網(wǎng)絡病毒、郵件病毒,發(fā)展到今天更多的側(cè)重于通過Web方式。我在跟用戶接觸的過程中,我們問他你感覺到這些病毒是怎么樣進入網(wǎng)絡里的?很多人都講就是用戶上了某個網(wǎng)站,或者不小心點了某個郵件鏈接,病毒就出現(xiàn)了。從網(wǎng)絡形態(tài)來看,通過Web方式傳播成為了主流。
利用Internet執(zhí)行各種惡意活動
以前的威脅形態(tài)通常是以出名為目的,現(xiàn)在完全是以牟利為目的,希望通過這個程序的擴散來獲得金錢上的利益。從下面來看我們會看到威脅無孔不入,以前可能是只跟專業(yè)的電腦人員相關,今天我們會看到,隨著手機病毒的出現(xiàn),可能路邊上擺一個攤賣蘋果的可能都會遇到病毒的問題。所以在內(nèi)容安全上成為大家共同面臨的問題。
我們舉個例子,這個大家熟悉不過,照片上的李俊和同案犯不同開發(fā)熊貓燒香,從去年年末到今年年初,在整個網(wǎng)絡上引起很大的事件。他們也通過熊貓燒香病毒直接獲利10多萬元。所以實際他在開發(fā)過程中他自己賣,因為他可以竊取游戲的帳號和QQ的帳號,他自己在網(wǎng)上賣,也通過別人代賣,進行直接的獲利。所以現(xiàn)在沒有人在網(wǎng)上傳播病毒不求回報。
我們從以前的網(wǎng)絡蠕蟲攻擊來看,我們看左邊的圖,這個圖代表在一個網(wǎng)絡風險、網(wǎng)絡威脅出現(xiàn)之后,我們用戶面臨的損失是怎么樣的。一般來講是風險剛出現(xiàn)的時候,這時候我們的威脅比較少,損失比較少,但是隨著時間的推移我們的損失會到達一個頂點。安全廠商在提供相應解決方案之后,我們的風險就會越來越低,直到這個網(wǎng)絡風險在我的網(wǎng)絡里完全清除掉。但是今天我們看到的是不同的,下面的圖我們會看到,我們今天會看到一個網(wǎng)絡威脅進入到我的網(wǎng)絡之后,它開始不斷的自我更新自己。我們講防毒廠商、安全廠商是需要不斷更新自己的更新主件,現(xiàn)在病毒變得和防毒廠商一樣,它執(zhí)行之后會再去網(wǎng)上下載更新。所以熊貓燒香病毒就是一個例證。李俊和另外幾個人他們不斷開發(fā)新的變種,老的變種會自動把自己變成新的變種,所以它就具備了不斷擴散和更新的能力。所以在網(wǎng)絡里造成的危害是持續(xù)性的,這個時間很長。一旦風險進入之后,我們就感覺到清除起來非常困難。包括像ARP的病毒,一旦進入到網(wǎng)絡,這時候清除起來我投入的成本非常大,所以這種損失就造成了,影響非常全面。
另外一點,目前的網(wǎng)絡威脅的特點是定向性的。比如它是針對銀行,針對QQ竊取,那么我開發(fā)這個東西就是針對QQ來做的。可能我的機器上威脅進來之后,沒有QQ,我用的是MSN,那么我的機密信息就不會丟失。但是真的如果有QQ,那么你的帳號信息和所有的信息都會被竊取到。所以從損失來講,它對特定人群,特定的單位組織進行攻擊,造成的定向危害就更大。
采用多種惡意形態(tài)相結(jié)合的技術
通常來講,這些威脅攻擊可以分為內(nèi)部攻擊和外部攻擊。在用戶一旦感染到網(wǎng)絡威脅的時候,它在內(nèi)部進行擴散的時候,它比從外部進來的時候?qū)ξ覀冊斐傻奈:Ω泳薮蟆K詮恼w上來講,整個的威脅形態(tài)變得更加智能、更加復合,不再是單獨的一種形態(tài)。
我們根據(jù)收集到的樣本做了一個統(tǒng)計,從我們的統(tǒng)計來看,整個的惡意威脅類型正在向Web攻擊轉(zhuǎn)變,正在通過Web的這條途徑在傳播。所以我們可以看到底下的粉線是我們針對網(wǎng)絡蠕蟲的數(shù)量的統(tǒng)計,我們會看到這個數(shù)量統(tǒng)計發(fā)展相對平穩(wěn),所以我們這兩年可能跟大家直觀感受一樣,我們好象沒有感覺到有特別大的網(wǎng)絡蠕蟲爆發(fā)。但是從另一個方面來講,大家直觀感受是間諜軟件、木馬的形態(tài)越來越多,這個跟我們病毒處理中心獲得的數(shù)據(jù)是一致的。
從上面的曲線來看,它的數(shù)量不僅多,而且整個數(shù)量呈高速增長的態(tài)勢。所以在這樣的情況下,就需要有一個新型的解決方案來對它的傳播方式進行防護。這是我們后面要講的內(nèi)容。
這里我們來看一個案例。因為不同的安全廠商對惡意程序的命名不太一樣。我們是有一個惡意程序命名叫DLoader,它出現(xiàn)的時候是通過郵件進行傳播,一旦進入之后你點擊,它就會把你導向到www.88KV.com的網(wǎng)站下載木馬,然后會導到downV368V.com網(wǎng)站做第二次下載,之后它會找到第三個網(wǎng)站做下載,它會不斷的更新,隱藏自己。所以這樣我們在防護里面會發(fā)現(xiàn),防護起來是非常困難的。因為寫作者一直在為這個惡意程序在前面鋪路,讓它的生命期得以延長。所以我們怎么對這些惡意程序?qū)懽髡咚麄兝眠@些載點進行及時的阻止,就很重要。假如這些載點的訪問我不能夠有效的控制,那么這個風險的威脅就不斷的加強,不斷的擴大。
Web還有一個最突出的代表就是僵尸網(wǎng)絡,它就是通過一個惡意程序?qū)懽髡邔懗鰜碇螅M行傳播,通過利用人的好奇心去點擊、下載,這個時候就把它的木馬安裝在你的機器里。這個時候?qū)懽髡呔涂梢酝ㄟ^控制這些機器做一些特定的攻擊,或者做發(fā)垃圾郵件賺錢。誰想發(fā)垃圾郵件支付我錢,我就通過我控制的幾十萬臺肉雞為你提供服務。當然這實際上已經(jīng)涉及到犯罪了。
在媒體上我們看到報道比較早的是2005年河北的一個黑客,他操作6萬臺機器攻擊北京的一個網(wǎng)絡公司,后來被抓到了,這是一個比較早的刑事案件。同時僵尸網(wǎng)絡從之前我們看到的,它最大的沖擊力是發(fā)垃圾郵件。它的能力特別強,這是我們在全球監(jiān)控到的發(fā)垃圾郵件的一個實時的統(tǒng)計信息。這是4月12號產(chǎn)生的信息,你會看到我們國內(nèi)的兩大骨干網(wǎng)成為僵尸網(wǎng)絡生存的一個空間。這兩家一個是169,一個是CHINANET,我們發(fā)現(xiàn)它們總是在前五名之內(nèi)。比如在上周,CHINANET排在第一位,就是在整個全球骨干網(wǎng)上發(fā)垃圾郵件。因為我們收購一家公司是做RBL+的,它是監(jiān)控全球發(fā)垃圾郵件的。所以這個骨干網(wǎng)成為垃圾郵件的主力。所以對整個網(wǎng)絡消耗非常大。
所以第一部分我們總結(jié),逐利性是整個網(wǎng)絡威脅發(fā)展的主線。這些惡意程序的寫作者都希望通過它的惡意程序去獲利。第二點,通過Web方式傳播,這是目前他們最主要傳播途徑。所以針對這個傳播途徑我們來進行分析和防護,就是我們在當前,在安全層面上的技術部分我們要重點考慮的。
利用用戶的好奇心,暗中進行活動
簡單來講Web威脅是利用我們訪問一些Internet資源的時候,一些人利用我們的好奇心,利用用戶對安全知識的貧乏,使得我們?nèi)フ`點一些內(nèi)容,然后這些惡意程序就嵌入到我們的機器中,進行各種各樣的破壞。通過整個的傳播,我們利用Internet訪問的機制來進入。最開始我們不知道,但是慢慢我們感覺到這個機器有了異常。
從Web威脅發(fā)展的背景來看,一方面是用戶持續(xù)的增長,全球13.5的網(wǎng)絡用戶。另一方面我們更多生活上的行為通過網(wǎng)絡來實現(xiàn)。比如網(wǎng)絡采購、銀行轉(zhuǎn)帳,還有Web2.0博客技術發(fā)展,使得更多的人開始覺得我以前可能對上網(wǎng)不太感興趣,這時候我希望自己看到別人日常工作中是怎么想的,怎么做的,我自己怎么想怎么做的,通過這些網(wǎng)絡應用的產(chǎn)生,使得這種風險傳播的機率就擴大了。所以目前來講,Web就成為各種惡意程序傳播的理想工具,成為擴散的場所。
Gartner有一個統(tǒng)計,它覺得目前在我們企業(yè)做Web的部署率大約在20%,它根據(jù)自己的數(shù)據(jù)預估到2011年,整個企業(yè)用戶中Web的部署率將達到80%,是大家發(fā)展安全技術提高的一個部分。所以說,我們要掐斷Web威脅,對它的每一個階段都要進行詳細的了解。這一塊我就不做詳細介紹了。
我們舉個例子,這是Stration的惡意程序。它跟我們前面講到的有點類似,不過它的最終結(jié)果是變成肉雞。它最一開始進來的時候是通過郵件進來的,它會帶一個鏈接。這個鏈接當然一掃描沒有任何的病毒和惡意程序,當它潛入進來之后,當用戶點擊它的時候,它就會進行第一次的進行木馬下載。這個木馬下載進來之后,它執(zhí)行之后,就會進行第二次的木馬下載,同時把發(fā)垃圾郵件的模板給拿下來。這時候,第二個木馬程序拿到之后,它已經(jīng)成為發(fā)垃圾郵件的一個肉雞,這個時候外部的操縱者就可以通過它去發(fā)送大量的垃圾郵件。所以說,它是一種植樹型的擴散,通過垃圾郵件把自己傳播出去,又把感染到的機器變成一個新的傳播節(jié)點,所以整個僵尸網(wǎng)絡的規(guī)模擴展的非常快。
還有一個叫LINKOPTIM,它會感染一些占用的頁面,利用網(wǎng)站的漏洞,感染一些頁面。當用戶區(qū)訪問這些頁面的時候,它就會自動潛入用戶的機器。在這個過程當中,在剛剛潛入機器之后,它最主要做得一個動作,就是它會篡改Google的搜索結(jié)果,根據(jù)相應的排名會顯示某些廣告廠商的廣告。它會把這些廠商的信息顯示出來,這樣相當于把自己的廣告插進來。所以通過這種方式從中獲利,當然他也在不斷的更新自己。通常來講這種惡意程序在不斷的開發(fā)過程中,實際上也有自己的漏洞。所以最后它會造成我們的節(jié)點系統(tǒng)癱瘓掉了。這是很典型的一個進行獲利的行為案例。
Web成為目前惡意程序的理想途徑
同時我們看一下公安部2006年的惡意程序傳播途徑的調(diào)查結(jié)果。大家有機會的話看一下,去年公安部做的調(diào)查,今年也正在開始做。我們跟他們也是合作伙伴,對全國的用戶做調(diào)查。從去年調(diào)查結(jié)果來看,網(wǎng)絡瀏覽和下載是國內(nèi)用戶普遍認同的方式。左邊的圖從2001年一直到2006年,你們可以看到整個的數(shù)值比例非常高,所以這時我們確實要認識到,目前怎么樣針對Web威脅進行防護,這是我們的重點。假如我們還是被動式的防護,就是我還是要依靠廠商的代碼來做防護的時候,我們會看到這個惡意程序進來之后,它可能在這個代碼提供出來之前,它已經(jīng)找了三個網(wǎng)站去下載新的變種,惡意程序?qū)懽髡呖赡芤呀?jīng)寫好五個變種在后面等著你。你在廠商那里拿到第一個解決方案的時候,可能后面已經(jīng)往前走了三四步,這個時候防護就非常變動。所以我們怎么樣對Web威脅進行有效、快速的防護是我們今天每個在實施安全防護時需要考慮的問題。
