計算機世界中的特洛伊木馬的名字來自著名的特洛伊戰(zhàn)記。故事說的是在古希臘時代,希臘人和特洛伊人發(fā)生了戰(zhàn)爭,在圍困特洛伊城長達整整十年后仍不能攻陷。后來希臘人把一批勇士藏匿于巨大無比的木馬后退兵,當(dāng)特洛伊人將木馬作為戰(zhàn)利品拖入城內(nèi)時,高大的木馬正好卡在城門間,進退兩難,夜晚木馬內(nèi)的勇士們爬出來,與城外的部隊里應(yīng)外合而攻下了特洛伊城。而計算機世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和拒絕服務(wù)攻擊等特殊功能的后門程序。
世界上第一個計算機木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本(事實上, 編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本),一旦用戶信以為真運行該木馬程序,那么他的下場就是硬盤被格式化。此時的第一代木馬還不具備傳染特征。
1989年出現(xiàn)了AIDS木馬。由于當(dāng) 時很少有人使用電子郵件,所以AIDS的作者就利用現(xiàn)實生活中的郵件進行散播:給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個名稱是因為軟盤中 包含有AIDS和HIV疾病的藥品,價格,預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運行后,雖然不會破壞數(shù)據(jù),但是他將硬盤加密鎖死,然后提示受感染用戶 花錢消災(zāi)。可以說第二代木馬已具備了傳播特征(盡管通過傳統(tǒng)的郵遞方式)。
但隨著Internet的普及,新一代的木馬出現(xiàn)了,它兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。木馬的主要目標(biāo)也不再是進行文件和系統(tǒng)的的破壞,而是帶有收集密碼,遠程控制等功能, 這段時期比較有名的有國外的BO2000(BackOrifice)和國內(nèi)的冰河木馬。它們有如下共同特點:基于網(wǎng)絡(luò)的客戶端/服務(wù)器應(yīng)用程序。具有搜集信息、 執(zhí)行系統(tǒng)命令、重新設(shè)置機器、重新定向等功能。當(dāng)木馬程序攻擊得手后,計算機就完全成為黑客控制的傀儡主機,黑客成了超級用戶,用戶的所有計算機操作不但沒有任何秘密而言,而且黑客可以遠程控制傀儡主機對別的主機發(fā)動攻擊,這時候被俘獲的傀儡主機成了黑客進行進一步攻擊的擋箭牌和跳板。
這時期的木馬比較顯著的特點是以單獨的程序形勢存在,帶來的問題是木馬的網(wǎng)絡(luò)行為很容易被一些個人防火墻所阻斷,為了解決這個問題,一個新的技術(shù)被廣泛應(yīng)用,這就是進程注入技術(shù)。
進程注入技術(shù)是將代碼注入到另一個進程,并以其上下文運行的一種技術(shù),木馬經(jīng)常注入自己到IE瀏覽器中,由于IE瀏覽器經(jīng)常需要訪問網(wǎng)絡(luò),因此在防火墻彈出是否允許IE瀏覽器訪問網(wǎng)絡(luò)時,用戶經(jīng)常會點擊允許,殊不知自己機器中的木馬已經(jīng)偷偷地去連接網(wǎng)絡(luò)了。
但對于殺毒軟件來說,使用成熟的特征碼殺毒技術(shù)仍然可以通過和對病毒同樣的處理手段對此時的木馬進行查殺。但從04年開始,一切變得不一樣了。2004年,在黑客圈子內(nèi)部,有人公開提出免殺技術(shù),這種技術(shù)是針對殺毒軟件的特征碼直接修改木馬的二進制代碼,由于當(dāng)時還沒有強有力的工具出現(xiàn),所以一般都使用WinHEX工具逐字節(jié)更改,需要相當(dāng)?shù)募夹g(shù)能力,這種手工方式只在少數(shù)黑客內(nèi)部流傳。
2005年,著名的免殺工具CCL-一個自動化的特征碼定位工具被公布,這使得免殺技術(shù)在很短的時間內(nèi)開始公開化,一批黑客站點有意或無意的宣傳使得越來越多的人開始討論免殺技術(shù),各大殺毒軟件面臨嚴(yán)重的信任危機,一個懂一點基本的PE文件知識與免殺工具的使用的初學(xué)者就可以輕易編輯一個木馬,修改其特征碼使其躲過殺毒軟件的檢測,據(jù)統(tǒng)計,著名木馬灰鴿子曾在短短一年之內(nèi)出現(xiàn)超過6萬個變種,絕大部分都源于免殺技術(shù)的普及。
同樣也是在這一年,一些殺毒廠商提出“主動防御”的概念,這門聽起來顯得很專業(yè)的技術(shù)是用來增強已經(jīng)對木馬不再構(gòu)成殺傷力的特征碼識別技術(shù),通過對病毒行為規(guī)律分析、歸納、總結(jié),并結(jié)合反病毒專家判定病毒的經(jīng)驗,提煉成病毒識別規(guī)則知識庫。模擬專家發(fā)現(xiàn)新病毒的機理,通過對各種程序動作的自動監(jiān)視,自動分析程序動作之間的邏輯關(guān)系,綜合應(yīng)用病毒識別規(guī)則知識,實現(xiàn)自動判定新病毒,達到主動防御的目的。
通過這種技術(shù),在木馬訪問網(wǎng)絡(luò),注入進程等行為發(fā)生時殺毒軟件會及時通告給用戶,雖然還不完善,但至少還是可以對未知的木馬做出一定的預(yù)警。
道高一尺,魔高一丈,為了抵御主動防御技術(shù),木馬的開發(fā)者們又把目光轉(zhuǎn)向了一門新的技術(shù)-“ROOTKIT”技術(shù),這種技術(shù)最早應(yīng)用于UNIX系統(tǒng),也被稱為“系統(tǒng)級后門”,就是在操作系統(tǒng)中通過嵌入代碼或模塊的方式掌握系統(tǒng)控制權(quán),方便以后隨時登陸進系統(tǒng)。木馬主要通過ROOTKIT技術(shù)來隱藏自己,使殺毒軟件無法察覺木馬的存在或者干脆從系統(tǒng)級上禁用殺毒軟件的某些功能,這樣一來,木馬和殺毒軟件的爭奪主要就集中在系統(tǒng)控制權(quán)的爭奪上了,誰能拿到系統(tǒng)控制權(quán)就可以反制另一方,從2006年開始,雙方的爭奪開始進入白熱化,新的突破點和防護點不斷被研究出來,但總體上說,殺毒軟件處于被動狀態(tài),畢竟操作系統(tǒng)涉及的方方面面太廣了,只要無法進行系統(tǒng)級的全面防護,那么一旦單點被突破就前功盡棄。
未知木馬樣本的收集對于殺毒軟件來說也是個新的挑戰(zhàn),現(xiàn)代高級木馬可以做到讓用戶毫無差覺,沒有進程,啟動后沒有文件,這樣就很難收集樣本的方式來進行分析,而在沒有樣本的條件下進行木馬分析簡直是太難了。
例如2007年7月,一個新的不可檢測 的ROOTKIT - Rustock.c發(fā)布,但在接近一年后,Dr.Web(一個俄羅斯反病毒公司)的研 究人員才對外宣稱他們已經(jīng)發(fā)現(xiàn)了Rustock.c的樣本并確認(rèn)在當(dāng)時的系統(tǒng)保護手段下這個木馬是不可檢測的,毫無疑問,Rootkit在這個對抗中明顯占據(jù)上風(fēng)。
當(dāng)時間來到2008,兩個新的進展給了我們擺脫這種尷尬局面的希望,第一個是芯片廠商推出的芯片安全和虛擬化技術(shù),這使得安全軟件有希望得到系統(tǒng)的徹底控制權(quán),隨著技術(shù)的發(fā)展,基于這種技術(shù)的安全軟件有望在不遠的未來出現(xiàn),另一方面,基于虛擬化芯片技術(shù)的rootkit也將揭開神秘的面紗,兩者的對抗仍將繼續(xù)。#p#分頁標(biāo)題#e#
另一個有變革性意義的技術(shù)是安全廠商推出的云安全技術(shù),這項技術(shù)將從過去由用戶受到攻擊之后再殺毒到現(xiàn)在的側(cè)重于防毒,實現(xiàn)一個根本意義上的轉(zhuǎn)變。
當(dāng)前已經(jīng)出現(xiàn)的云安全實現(xiàn)原理大概可以分為兩種:一種是由趨勢科技提出的“Secure Cloud”,以Web信譽服務(wù)(WRS) 、郵件信譽服務(wù)(ERS)和文件信譽服務(wù)(FRS)為基礎(chǔ)架構(gòu)的云客戶端安全架構(gòu),把病毒特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中,令其在端點處保持最低數(shù)量用 于驗證。其核心在于兩點:(1)對復(fù)合式攻擊的攔截。通過對疑似病毒組件各部分外延屬性進行檢查,判斷威脅程度;(2)瘦客戶端。大量的病毒特征碼保存在 云數(shù)據(jù)庫中。簡言之,趨勢科技云安全技術(shù)基于其擁有龐大的服務(wù)器群和并行處理能力,構(gòu)架了一個龐大的黑白名單服務(wù)器群,用于客戶端查詢,在Web威脅到達 最終用戶或公司網(wǎng)絡(luò)之前即對其予以攔截。
國內(nèi)安全廠商瑞星也提出了云安全的概念,與趨勢科技服務(wù)器群“云”不同,瑞星的“云”則建立在廣大的互聯(lián)網(wǎng)用戶上。通過在用戶客戶端安裝軟件監(jiān)控網(wǎng)絡(luò)中軟件行 為的異常,將發(fā)現(xiàn)的疑似木馬、惡意程序最新信息推送到瑞星的服務(wù)器進行自動分析和處理,然后再把病毒和木馬的解決方案分發(fā)到每一個客戶端。
以上兩種云安全概念采用的是兩種完全不同的模式。趨勢科技強調(diào)的是阻止外來威脅,基礎(chǔ)是龐大的服務(wù)器群;瑞星強調(diào)的則是對用戶計算機上業(yè)已存在的未知威脅 進行感知,基礎(chǔ)是必須擁有大量的客戶端用戶。這兩種模式都有一定的缺陷,趨勢科技忽略了對本機威脅的收集,而瑞星的云安全則只能被動防守,不能在未知威脅進入到電腦前進行攔截。但另一方面,無論哪種云安全概念,都可以縮短殺毒軟件的響應(yīng)時間,從整個互聯(lián)網(wǎng)的層面上最大程度地確保客戶系統(tǒng)的安全。
對于木馬而言,云安全縮短了樣本的發(fā)現(xiàn)時間和響應(yīng)時間,同時架構(gòu)了一個基于整個互聯(lián)網(wǎng)的安全體系,對于未知木馬的防護開辟了新的思路,具體效果如何,還要我們拭目以待。
