計(jì)算機(jī)世界中的特洛伊木馬的名字來自著名的特洛伊戰(zhàn)記。故事說的是在古希臘時(shí)代,希臘人和特洛伊人發(fā)生了戰(zhàn)爭(zhēng),在圍困特洛伊城長(zhǎng)達(dá)整整十年后仍不能攻陷。后來希臘人把一批勇士藏匿于巨大無比的木馬后退兵,當(dāng)特洛伊人將木馬作為戰(zhàn)利品拖入城內(nèi)時(shí),高大的木馬正好卡在城門間,進(jìn)退兩難,夜晚木馬內(nèi)的勇士們爬出來,與城外的部隊(duì)里應(yīng)外合而攻下了特洛伊城。而計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和拒絕服務(wù)攻擊等特殊功能的后門程序。
世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本(事實(shí)上, 編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本),一旦用戶信以為真運(yùn)行該木馬程序,那么他的下場(chǎng)就是硬盤被格式化。此時(shí)的第一代木馬還不具備傳染特征。
1989年出現(xiàn)了AIDS木馬。由于當(dāng) 時(shí)很少有人使用電子郵件,所以AIDS的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播:給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個(gè)名稱是因?yàn)檐洷P中 包含有AIDS和HIV疾病的藥品,價(jià)格,預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運(yùn)行后,雖然不會(huì)破壞數(shù)據(jù),但是他將硬盤加密鎖死,然后提示受感染用戶 花錢消災(zāi)。可以說第二代木馬已具備了傳播特征(盡管通過傳統(tǒng)的郵遞方式)。
但隨著Internet的普及,新一代的木馬出現(xiàn)了,它兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。木馬的主要目標(biāo)也不再是進(jìn)行文件和系統(tǒng)的的破壞,而是帶有收集密碼,遠(yuǎn)程控制等功能, 這段時(shí)期比較有名的有國(guó)外的BO2000(BackOrifice)和國(guó)內(nèi)的冰河木馬。它們有如下共同特點(diǎn):基于網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序。具有搜集信息、 執(zhí)行系統(tǒng)命令、重新設(shè)置機(jī)器、重新定向等功能。當(dāng)木馬程序攻擊得手后,計(jì)算機(jī)就完全成為黑客控制的傀儡主機(jī),黑客成了超級(jí)用戶,用戶的所有計(jì)算機(jī)操作不但沒有任何秘密而言,而且黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊,這時(shí)候被俘獲的傀儡主機(jī)成了黑客進(jìn)行進(jìn)一步攻擊的擋箭牌和跳板。
這時(shí)期的木馬比較顯著的特點(diǎn)是以單獨(dú)的程序形勢(shì)存在,帶來的問題是木馬的網(wǎng)絡(luò)行為很容易被一些個(gè)人防火墻所阻斷,為了解決這個(gè)問題,一個(gè)新的技術(shù)被廣泛應(yīng)用,這就是進(jìn)程注入技術(shù)。
進(jìn)程注入技術(shù)是將代碼注入到另一個(gè)進(jìn)程,并以其上下文運(yùn)行的一種技術(shù),木馬經(jīng)常注入自己到IE瀏覽器中,由于IE瀏覽器經(jīng)常需要訪問網(wǎng)絡(luò),因此在防火墻彈出是否允許IE瀏覽器訪問網(wǎng)絡(luò)時(shí),用戶經(jīng)常會(huì)點(diǎn)擊允許,殊不知自己機(jī)器中的木馬已經(jīng)偷偷地去連接網(wǎng)絡(luò)了。
但對(duì)于殺毒軟件來說,使用成熟的特征碼殺毒技術(shù)仍然可以通過和對(duì)病毒同樣的處理手段對(duì)此時(shí)的木馬進(jìn)行查殺。但從04年開始,一切變得不一樣了。2004年,在黑客圈子內(nèi)部,有人公開提出免殺技術(shù),這種技術(shù)是針對(duì)殺毒軟件的特征碼直接修改木馬的二進(jìn)制代碼,由于當(dāng)時(shí)還沒有強(qiáng)有力的工具出現(xiàn),所以一般都使用WinHEX工具逐字節(jié)更改,需要相當(dāng)?shù)募夹g(shù)能力,這種手工方式只在少數(shù)黑客內(nèi)部流傳。
2005年,著名的免殺工具CCL-一個(gè)自動(dòng)化的特征碼定位工具被公布,這使得免殺技術(shù)在很短的時(shí)間內(nèi)開始公開化,一批黑客站點(diǎn)有意或無意的宣傳使得越來越多的人開始討論免殺技術(shù),各大殺毒軟件面臨嚴(yán)重的信任危機(jī),一個(gè)懂一點(diǎn)基本的PE文件知識(shí)與免殺工具的使用的初學(xué)者就可以輕易編輯一個(gè)木馬,修改其特征碼使其躲過殺毒軟件的檢測(cè),據(jù)統(tǒng)計(jì),著名木馬灰鴿子曾在短短一年之內(nèi)出現(xiàn)超過6萬個(gè)變種,絕大部分都源于免殺技術(shù)的普及。
同樣也是在這一年,一些殺毒廠商提出“主動(dòng)防御”的概念,這門聽起來顯得很專業(yè)的技術(shù)是用來增強(qiáng)已經(jīng)對(duì)木馬不再構(gòu)成殺傷力的特征碼識(shí)別技術(shù),通過對(duì)病毒行為規(guī)律分析、歸納、總結(jié),并結(jié)合反病毒專家判定病毒的經(jīng)驗(yàn),提煉成病毒識(shí)別規(guī)則知識(shí)庫。模擬專家發(fā)現(xiàn)新病毒的機(jī)理,通過對(duì)各種程序動(dòng)作的自動(dòng)監(jiān)視,自動(dòng)分析程序動(dòng)作之間的邏輯關(guān)系,綜合應(yīng)用病毒識(shí)別規(guī)則知識(shí),實(shí)現(xiàn)自動(dòng)判定新病毒,達(dá)到主動(dòng)防御的目的。
通過這種技術(shù),在木馬訪問網(wǎng)絡(luò),注入進(jìn)程等行為發(fā)生時(shí)殺毒軟件會(huì)及時(shí)通告給用戶,雖然還不完善,但至少還是可以對(duì)未知的木馬做出一定的預(yù)警。
道高一尺,魔高一丈,為了抵御主動(dòng)防御技術(shù),木馬的開發(fā)者們又把目光轉(zhuǎn)向了一門新的技術(shù)-“ROOTKIT”技術(shù),這種技術(shù)最早應(yīng)用于UNIX系統(tǒng),也被稱為“系統(tǒng)級(jí)后門”,就是在操作系統(tǒng)中通過嵌入代碼或模塊的方式掌握系統(tǒng)控制權(quán),方便以后隨時(shí)登陸進(jìn)系統(tǒng)。木馬主要通過ROOTKIT技術(shù)來隱藏自己,使殺毒軟件無法察覺木馬的存在或者干脆從系統(tǒng)級(jí)上禁用殺毒軟件的某些功能,這樣一來,木馬和殺毒軟件的爭(zhēng)奪主要就集中在系統(tǒng)控制權(quán)的爭(zhēng)奪上了,誰能拿到系統(tǒng)控制權(quán)就可以反制另一方,從2006年開始,雙方的爭(zhēng)奪開始進(jìn)入白熱化,新的突破點(diǎn)和防護(hù)點(diǎn)不斷被研究出來,但總體上說,殺毒軟件處于被動(dòng)狀態(tài),畢竟操作系統(tǒng)涉及的方方面面太廣了,只要無法進(jìn)行系統(tǒng)級(jí)的全面防護(hù),那么一旦單點(diǎn)被突破就前功盡棄。
未知木馬樣本的收集對(duì)于殺毒軟件來說也是個(gè)新的挑戰(zhàn),現(xiàn)代高級(jí)木馬可以做到讓用戶毫無差覺,沒有進(jìn)程,啟動(dòng)后沒有文件,這樣就很難收集樣本的方式來進(jìn)行分析,而在沒有樣本的條件下進(jìn)行木馬分析簡(jiǎn)直是太難了。
例如2007年7月,一個(gè)新的不可檢測(cè) 的ROOTKIT - Rustock.c發(fā)布,但在接近一年后,Dr.Web(一個(gè)俄羅斯反病毒公司)的研 究人員才對(duì)外宣稱他們已經(jīng)發(fā)現(xiàn)了Rustock.c的樣本并確認(rèn)在當(dāng)時(shí)的系統(tǒng)保護(hù)手段下這個(gè)木馬是不可檢測(cè)的,毫無疑問,Rootkit在這個(gè)對(duì)抗中明顯占據(jù)上風(fēng)。
當(dāng)時(shí)間來到2008,兩個(gè)新的進(jìn)展給了我們擺脫這種尷尬局面的希望,第一個(gè)是芯片廠商推出的芯片安全和虛擬化技術(shù),這使得安全軟件有希望得到系統(tǒng)的徹底控制權(quán),隨著技術(shù)的發(fā)展,基于這種技術(shù)的安全軟件有望在不遠(yuǎn)的未來出現(xiàn),另一方面,基于虛擬化芯片技術(shù)的rootkit也將揭開神秘的面紗,兩者的對(duì)抗仍將繼續(xù)。#p#分頁標(biāo)題#e#
另一個(gè)有變革性意義的技術(shù)是安全廠商推出的云安全技術(shù),這項(xiàng)技術(shù)將從過去由用戶受到攻擊之后再殺毒到現(xiàn)在的側(cè)重于防毒,實(shí)現(xiàn)一個(gè)根本意義上的轉(zhuǎn)變。
當(dāng)前已經(jīng)出現(xiàn)的云安全實(shí)現(xiàn)原理大概可以分為兩種:一種是由趨勢(shì)科技提出的“Secure Cloud”,以Web信譽(yù)服務(wù)(WRS) 、郵件信譽(yù)服務(wù)(ERS)和文件信譽(yù)服務(wù)(FRS)為基礎(chǔ)架構(gòu)的云客戶端安全架構(gòu),把病毒特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中,令其在端點(diǎn)處保持最低數(shù)量用 于驗(yàn)證。其核心在于兩點(diǎn):(1)對(duì)復(fù)合式攻擊的攔截。通過對(duì)疑似病毒組件各部分外延屬性進(jìn)行檢查,判斷威脅程度;(2)瘦客戶端。大量的病毒特征碼保存在 云數(shù)據(jù)庫中。簡(jiǎn)言之,趨勢(shì)科技云安全技術(shù)基于其擁有龐大的服務(wù)器群和并行處理能力,構(gòu)架了一個(gè)龐大的黑白名單服務(wù)器群,用于客戶端查詢,在Web威脅到達(dá) 最終用戶或公司網(wǎng)絡(luò)之前即對(duì)其予以攔截。
國(guó)內(nèi)安全廠商瑞星也提出了云安全的概念,與趨勢(shì)科技服務(wù)器群“云”不同,瑞星的“云”則建立在廣大的互聯(lián)網(wǎng)用戶上。通過在用戶客戶端安裝軟件監(jiān)控網(wǎng)絡(luò)中軟件行 為的異常,將發(fā)現(xiàn)的疑似木馬、惡意程序最新信息推送到瑞星的服務(wù)器進(jìn)行自動(dòng)分析和處理,然后再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。
以上兩種云安全概念采用的是兩種完全不同的模式。趨勢(shì)科技強(qiáng)調(diào)的是阻止外來威脅,基礎(chǔ)是龐大的服務(wù)器群;瑞星強(qiáng)調(diào)的則是對(duì)用戶計(jì)算機(jī)上業(yè)已存在的未知威脅 進(jìn)行感知,基礎(chǔ)是必須擁有大量的客戶端用戶。這兩種模式都有一定的缺陷,趨勢(shì)科技忽略了對(duì)本機(jī)威脅的收集,而瑞星的云安全則只能被動(dòng)防守,不能在未知威脅進(jìn)入到電腦前進(jìn)行攔截。但另一方面,無論哪種云安全概念,都可以縮短殺毒軟件的響應(yīng)時(shí)間,從整個(gè)互聯(lián)網(wǎng)的層面上最大程度地確保客戶系統(tǒng)的安全。
對(duì)于木馬而言,云安全縮短了樣本的發(fā)現(xiàn)時(shí)間和響應(yīng)時(shí)間,同時(shí)架構(gòu)了一個(gè)基于整個(gè)互聯(lián)網(wǎng)的安全體系,對(duì)于未知木馬的防護(hù)開辟了新的思路,具體效果如何,還要我們拭目以待。
