扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
【51CTO.com 独家报道】2007年4月19日下午,由51CTO.COM网站主办的“51CTO技术沙龙—企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里,来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解,并详细解答了与会技术人员提出的技术问题。
Web威胁分析
徐学龙:实际上我们来看一下在这么多年的发展过程中,网络威胁是怎么样来变化的。我们从最上面来看会看到各种网络威胁的形态,从目前我们会看到一个发展的主线,它经过了文件性的病毒、网络病毒、邮件病毒,发展到今天更多的侧重于通过Web方式。我在跟用户接触的过程中,我们问他你感觉到这些病毒是怎么样进入网络里的?很多人都讲就是用户上了某个网站,或者不小心点了某个邮件链接,病毒就出现了。从网络形态来看,通过Web方式传播成为了主流。
利用Internet执行各种恶意活动
以前的威胁形态通常是以出名为目的,现在完全是以牟利为目的,希望通过这个程序的扩散来获得金钱上的利益。从下面来看我们会看到威胁无孔不入,以前可能是只跟专业的电脑人员相关,今天我们会看到,随着手机病毒的出现,可能路边上摆一个摊卖苹果的可能都会遇到病毒的问题。所以在内容安全上成为大家共同面临的问题。
我们举个例子,这个大家熟悉不过,照片上的李俊和同案犯不同开发熊猫烧香,从去年年末到今年年初,在整个网络上引起很大的事件。他们也通过熊猫烧香病毒直接获利10多万元。所以实际他在开发过程中他自己卖,因为他可以窃取游戏的帐号和QQ的帐号,他自己在网上卖,也通过别人代卖,进行直接的获利。所以现在没有人在网上传播病毒不求回报。
我们从以前的网络蠕虫攻击来看,我们看左边的图,这个图代表在一个网络风险、网络威胁出现之后,我们用户面临的损失是怎么样的。一般来讲是风险刚出现的时候,这时候我们的威胁比较少,损失比较少,但是随着时间的推移我们的损失会到达一个顶点。安全厂商在提供相应解决方案之后,我们的风险就会越来越低,直到这个网络风险在我的网络里完全清除掉。但是今天我们看到的是不同的,下面的图我们会看到,我们今天会看到一个网络威胁进入到我的网络之后,它开始不断的自我更新自己。我们讲防毒厂商、安全厂商是需要不断更新自己的更新主件,现在病毒变得和防毒厂商一样,它执行之后会再去网上下载更新。所以熊猫烧香病毒就是一个例证。李俊和另外几个人他们不断开发新的变种,老的变种会自动把自己变成新的变种,所以它就具备了不断扩散和更新的能力。所以在网络里造成的危害是持续性的,这个时间很长。一旦风险进入之后,我们就感觉到清除起来非常困难。包括像ARP的病毒,一旦进入到网络,这时候清除起来我投入的成本非常大,所以这种损失就造成了,影响非常全面。
另外一点,目前的网络威胁的特点是定向性的。比如它是针对银行,针对QQ窃取,那么我开发这个东西就是针对QQ来做的。可能我的机器上威胁进来之后,没有QQ,我用的是MSN,那么我的机密信息就不会丢失。但是真的如果有QQ,那么你的帐号信息和所有的信息都会被窃取到。所以从损失来讲,它对特定人群,特定的单位组织进行攻击,造成的定向危害就更大。
采用多种恶意形态相结合的技术
通常来讲,这些威胁攻击可以分为内部攻击和外部攻击。在用户一旦感染到网络威胁的时候,它在内部进行扩散的时候,它比从外部进来的时候对我们造成的危害更加巨大。所以从整体上来讲,整个的威胁形态变得更加智能、更加复合,不再是单独的一种形态。
我们根据收集到的样本做了一个统计,从我们的统计来看,整个的恶意威胁类型正在向Web攻击转变,正在通过Web的这条途径在传播。所以我们可以看到底下的粉线是我们针对网络蠕虫的数量的统计,我们会看到这个数量统计发展相对平稳,所以我们这两年可能跟大家直观感受一样,我们好象没有感觉到有特别大的网络蠕虫爆发。但是从另一个方面来讲,大家直观感受是间谍软件、木马的形态越来越多,这个跟我们病毒处理中心获得的数据是一致的。
从上面的曲线来看,它的数量不仅多,而且整个数量呈高速增长的态势。所以在这样的情况下,就需要有一个新型的解决方案来对它的传播方式进行防护。这是我们后面要讲的内容。
这里我们来看一个案例。因为不同的安全厂商对恶意程序的命名不太一样。我们是有一个恶意程序命名叫DLoader,它出现的时候是通过邮件进行传播,一旦进入之后你点击,它就会把你导向到www.88KV.com的网站下载木马,然后会导到downV368V.com网站做第二次下载,之后它会找到第三个网站做下载,它会不断的更新,隐藏自己。所以这样我们在防护里面会发现,防护起来是非常困难的。因为写作者一直在为这个恶意程序在前面铺路,让它的生命期得以延长。所以我们怎么对这些恶意程序写作者他们利用这些载点进行及时的阻止,就很重要。假如这些载点的访问我不能够有效的控制,那么这个风险的威胁就不断的加强,不断的扩大。
Web还有一个最突出的代表就是僵尸网络,它就是通过一个恶意程序写作者写出来之后,他进行传播,通过利用人的好奇心去点击、下载,这个时候就把它的木马安装在你的机器里。这个时候写作者就可以通过控制这些机器做一些特定的攻击,或者做发垃圾邮件赚钱。谁想发垃圾邮件支付我钱,我就通过我控制的几十万台肉鸡为你提供服务。当然这实际上已经涉及到犯罪了。
在媒体上我们看到报道比较早的是2005年河北的一个黑客,他操作6万台机器攻击北京的一个网络公司,后来被抓到了,这是一个比较早的刑事案件。同时僵尸网络从之前我们看到的,它最大的冲击力是发垃圾邮件。它的能力特别强,这是我们在全球监控到的发垃圾邮件的一个实时的统计信息。这是4月12号产生的信息,你会看到我们国内的两大骨干网成为僵尸网络生存的一个空间。这两家一个是169,一个是CHINANET,我们发现它们总是在前五名之内。比如在上周,CHINANET排在第一位,就是在整个全球骨干网上发垃圾邮件。因为我们收购一家公司是做RBL+的,它是监控全球发垃圾邮件的。所以这个骨干网成为垃圾邮件的主力。所以对整个网络消耗非常大。
所以第一部分我们总结,逐利性是整个网络威胁发展的主线。这些恶意程序的写作者都希望通过它的恶意程序去获利。第二点,通过Web方式传播,这是目前他们最主要传播途径。所以针对这个传播途径我们来进行分析和防护,就是我们在当前,在安全层面上的技术部分我们要重点考虑的。
利用用户的好奇心,暗中进行活动
简单来讲Web威胁是利用我们访问一些Internet资源的时候,一些人利用我们的好奇心,利用用户对安全知识的贫乏,使得我们去误点一些内容,然后这些恶意程序就嵌入到我们的机器中,进行各种各样的破坏。通过整个的传播,我们利用Internet访问的机制来进入。最开始我们不知道,但是慢慢我们感觉到这个机器有了异常。
从Web威胁发展的背景来看,一方面是用户持续的增长,全球13.5的网络用户。另一方面我们更多生活上的行为通过网络来实现。比如网络采购、银行转帐,还有Web2.0博客技术发展,使得更多的人开始觉得我以前可能对上网不太感兴趣,这时候我希望自己看到别人日常工作中是怎么想的,怎么做的,我自己怎么想怎么做的,通过这些网络应用的产生,使得这种风险传播的机率就扩大了。所以目前来讲,Web就成为各种恶意程序传播的理想工具,成为扩散的场所。
Gartner有一个统计,它觉得目前在我们企业做Web的部署率大约在20%,它根据自己的数据预估到2011年,整个企业用户中Web的部署率将达到80%,是大家发展安全技术提高的一个部分。所以说,我们要掐断Web威胁,对它的每一个阶段都要进行详细的了解。这一块我就不做详细介绍了。
我们举个例子,这是Stration的恶意程序。它跟我们前面讲到的有点类似,不过它的最终结果是变成肉鸡。它最一开始进来的时候是通过邮件进来的,它会带一个链接。这个链接当然一扫描没有任何的病毒和恶意程序,当它潜入进来之后,当用户点击它的时候,它就会进行第一次的进行木马下载。这个木马下载进来之后,它执行之后,就会进行第二次的木马下载,同时把发垃圾邮件的模板给拿下来。这时候,第二个木马程序拿到之后,它已经成为发垃圾邮件的一个肉鸡,这个时候外部的操纵者就可以通过它去发送大量的垃圾邮件。所以说,它是一种植树型的扩散,通过垃圾邮件把自己传播出去,又把感染到的机器变成一个新的传播节点,所以整个僵尸网络的规模扩展的非常快。
还有一个叫LINKOPTIM,它会感染一些占用的页面,利用网站的漏洞,感染一些页面。当用户区访问这些页面的时候,它就会自动潜入用户的机器。在这个过程当中,在刚刚潜入机器之后,它最主要做得一个动作,就是它会篡改Google的搜索结果,根据相应的排名会显示某些广告厂商的广告。它会把这些厂商的信息显示出来,这样相当于把自己的广告插进来。所以通过这种方式从中获利,当然他也在不断的更新自己。通常来讲这种恶意程序在不断的开发过程中,实际上也有自己的漏洞。所以最后它会造成我们的节点系统瘫痪掉了。这是很典型的一个进行获利的行为案例。
Web成为目前恶意程序的理想途径
同时我们看一下公安部2006年的恶意程序传播途径的调查结果。大家有机会的话看一下,去年公安部做的调查,今年也正在开始做。我们跟他们也是合作伙伴,对全国的用户做调查。从去年调查结果来看,网络浏览和下载是国内用户普遍认同的方式。左边的图从2001年一直到2006年,你们可以看到整个的数值比例非常高,所以这时我们确实要认识到,目前怎么样针对Web威胁进行防护,这是我们的重点。假如我们还是被动式的防护,就是我还是要依靠厂商的代码来做防护的时候,我们会看到这个恶意程序进来之后,它可能在这个代码提供出来之前,它已经找了三个网站去下载新的变种,恶意程序写作者可能已经写好五个变种在后面等着你。你在厂商那里拿到第一个解决方案的时候,可能后面已经往前走了三四步,这个时候防护就非常变动。所以我们怎么样对Web威胁进行有效、快速的防护是我们今天每个在实施安全防护时需要考虑的问题。
我们怎么样来看目前Web威胁防护起来如何才能更加有效。有一个Web信誉服务,就是我要对全球所有网站做动态性的,历史性的数据分析,给出每一个网站的信誉等级,然后帮助用户在访问Web网站的时候,能够自动地获得这种防护能力。
传统方案:静态的代码防护
传统的解决方案通常我们会部署网关防毒、群建邮件防毒、服务器防毒、客户端防毒,通常来讲这种防护都是基于代码级别的防护。一个新的威胁出来之后,厂商提供了防护的方案,包括蠕虫攻击、病毒代码,这个时候我具备了对新型威胁的防护能力。这时候,我们都是在一种事后的防护。我提供这个解决方案,以后再有这个问题的时候我就可以解决掉。但是对将要出现的新的威胁,常常是比较被动的。
需要革新性的安全方案
我们现在希望提供的是一种革新性的安全方案,重点是信誉检查。你的恶意程序还没有进入到我的网络的时候,你的信息内容还没到我的网络编辑的时候,我首先对你的信誉进行评估,我要看一看你的安全性到底如何,你是不是我值得信任的,可以被访问的对象。所以这样可以做到我还没有和你接触,我已经把你阻止掉了。所以这一块重要的内容就是信誉服务。我要对所有的网站邮件地址进行动态的分析。
在Web和邮件这块,趋势科技对我们的安全方案来讲是不同的,一个是Web的信誉服务,一个是邮件的信誉服务,这一块都是在我们的整个解决方案里最外层的防护防线。我们认为,我们要做防护,首先必须把这两道信誉检查做起来。
Web和Email防护构架
当然,这个信誉到底怎么样来评估,我们可以简单举个例子。假如一个用户要访问一个外界的URL邮件地址,这时候我们怎么样来判断?实际上我们针对他50多个属性来进行检查。我们举个例子,比如我们会看这个域名的历史存在时间有多长时间,假如我们发现一个站点为了传播恶意程序,通常来讲这个站点时间很短,可能是几个小时或者一天。大家注意,有时候比较大的恶意程序在传播的时候,我们会看到它会利用某个网站。假如你从报纸上看到这个恶意程序运用某个网站,那么你说赶快访问看看吧,这个时候肯定就没有了。它存在的时间很短,达到目的之后马上把这个去掉,然后找新的寄主,就是为了隐藏自己。所以通常来讲恶意程序的站点存在期非常短。
第二点,我们要看这个站点是在哪个DNS上注册的,或者它的IP稳定性怎么样。我们看到,一方面它的时间短,另一方面我们看到它的站点注册的DNS稳定性很差。大家可以通过这个DNS查询到,但是过了两天这个DNS就没有了,或者是变来变去,它会用很快时间变换IP。还有我们要看它的关联性,是不是以前发垃圾邮件,还有我会进行垃圾邮件滥用分析、特征对比和动态上下文分析。我会把整个URL进行分析,给出一个分值,来判断这个站点到底应不应该访问。它里面的内容先不管,我先看它能不能够访问。
这是我们的一个案例,就是一个约会的网站。这种约会网站上面有间谍程序,你在访问的时候嵌入你的网络做一些破坏。这一块,我们会看到我们去评价,最后的结果就是这个站点大拇指向下的,指的是这个站点不可信任。它处在我们黑名单的可能性很大,严重警告的可能性也很大,还有它的DNS的活动性也非常容易改变。所以整体来看,它的稳定性很差。另外底下显示它在一些恶意的DNS上出现过它的比例,超过50%。从它的IP地址来看,这个站点的位置是跑来跑去的,今天在这个地方,明天就跑到另外一个地方,在几个州之间互相流窜,就是为了隐藏自己。所以这样的一个站点,它对我们的用户来讲访问它的风险就非常大。
我们来举自己的例子,你会看到这是趋势的站点,我们看到显示出来的饼图都是安全性的。比如可识别的,我的稳定性很好,我的存在的时间很长,我的生命期存在了4333天,虽然曾经被一些恶意的DNS记录进去。就是因为我们会看到有些病毒,它会把安全厂商的站点进行屏蔽,指向它的恶意站点。假如你遇到病毒,想访问趋势科技,这个时候你访问不到,但是总体来讲,比例是非常小的。所以这样的一个站点就是一个可信任的站点。
Web信誉服务与URL过滤的不同
我们要对URL过滤做一个说明。实际Web信誉服务是一种对我们的目的地址,在访问数据获得之前进行评估的一种服务方式。URL过滤类似于通缉罪犯一样,它相当于我已经知道你是犯罪嫌疑人,这个时候我做对你的过滤。它知道以前已知的恶意源,不能识别潜在的恶意源。
实际上Web信誉服务是动态地、历史地分析站点。我们会跟踪所有站点从产生的那一刻一直到消失的那一刻,我们会跟踪每个站点的生命周期,我们会看到它们的IP、注册位置,看看它到底是什么样的情况。所以在我们已经生成的数据库里面,有已知的恶意源,还有一些是可疑的,还有可能是有潜在危害的。它可以把这些进行分类,用户对管理人员来讲可以在安全设计上选择不同的安全级别来对访问的目标进行评估。同时它是持续的进行更新。我在访问的时候,假如这个站点之前没有被趋势评估过,是一个新的站点,这个时候我们就会做新的评估。在趋势的安全子系统里面可以被方便的调用。
安全子系统来讲包括网关、网络程序、终端多层次的防护,这样各个防护层面上都有网络信誉服务,和它进行挂接。我们把整个的信誉服务,包括Web信誉服务和邮件信誉服务嵌入到各个安全子系统里面去。以Web威胁为例,我不仅是要在网关上做一个防护,同时我在所有的节点上,包括我的网络版、单机版都做信誉的评估,来保证用户不管是在在线的状态还是宕机机器的状态都可以进行防护。
Web 信誉评估系统
在多层次的Web威胁我们来看一个案例,我们在这个部署里面,不管是在终端、服务器、网管上,它同时在启用信誉检查,然后与我们的Web信誉服务进行沟通,对整个节点的访问行为进行控制,及时阻断风险目的地,提高主动性和及时性。
Web信誉的优势,首先Web信誉服务是跟踪3亿多个全球域名的生命周期,从它的出现到结束,我们都会进行站点的记录。同时,对新的站点我们进行实时的更新和动态的评估。在邮件里面,比如我们前面讲到很多恶意程序是通过邮件链接进行潜入的,这个时候我们就可以在邮件网关上调用Web信誉服务,对邮件中的URL地址进行信誉评估。假如超过我们设定的级别,我们就把它阻止掉。
终端的防护部署
还有在终端上面,我们用自动的位置感应式的,不管你在什么样的位置,都能够及时的获得服务。同时,由于这种服务不是对信息进行扫描,而是在申请建立链接的时候,我进行评估。所以这种防护方式对资源的消耗非常小,用户的保护效果更快、更早。整个趋势方案是潜入到所有的产品中,来实现信誉跟内容的全面检查。
我们举个例子,在北京的一个能源行业的用户,它的背景是已经部署了终端和邮件的防护系统,它部署的安全子系统是另外一家厂商的产品。但是他感觉到网络病毒事件不断出现,不断有用户爆事件,而且去年有一次他们的总经理级别的人员对他们提出了很严厉的批评,因为病毒爆发会影响很多客户资源。还有他们感觉人员安全意识不够,所以希望从产品层面、服务层面提出解决方案,希望在这一块做提高。
我们简短介绍一下这个解决方案,实际我们用到了两个硬件产品,一个是NVW,一个是IWSA。NVW它是一个网关准入控制的产品,它部署在每个分公司的网关处,对每个节点进行监控和过滤。另外,IWSA对整个网关和Web访问监控。这是我们当时帮用户制定的一个方案。我们的这个产品部署之后,这是七天后的一个统计结果。我们从第一天来看,整个间谍软件、灰色软件、木马数值是比较高的,随着时间的推移,你看到第六天、第七天的时候,你会看到数值开始减少。中间有一天是因为有一个垃圾邮件没有防护住,用户点击网络钓鱼的一个链接,造成一个突发。但是后来在这个过程里面,慢慢的它会比原来的侵入次数少很多。假如我在没有部署之前,内部的机器不断去外面获得新的变种,它拦截之后慢慢的病毒减少。
我们看到通过挡掉的URL来看,这个量是非常大的。我们来看网站,就会看到这些站点不是一些正常的、善意的网站,一看这些站点就是非常具有攻击性和欺骗性的。我们看到挡掉的访问次数非常多,最多的是3658,都是下载REL文件。假如所有的这些东西都下来,光前面的4个就是1000多个病毒潜入到网络当中,这样造成的破坏力和你要去完全清除掉,所投入的人力几乎是非常巨大的。
还有,我们可以从日志报表看到,网络这些节点到底哪些是经常访问恶意站点,经常访问信誉等级不高的站点。这里面前5位的人就比别人多很多,代表这些人的安全意识很差,他的访问行为没有得到有效的控制,使得他们在恶意站点上访问的次数越来越多。所以这是一个具体的案例,这个案例我们可以看到,通过Web信誉服务可以有效的降低风险的侵入和引入内部用户访问安全意识不强引入的侵入。
所以我们总结一下,前面的同事讲到了整个来看安全怎么做,这会涉及到几个层面。假如我们把安全再往小来看,单就威胁和技术来看,目前的Web是主要防护的传播途径,是我们要重点提高的方面。第二点,Web的威胁防护,假如是依靠代码式的防护,这种防护常常是被动的。因为恶意程序存在的时间,可能仅仅是一个小时或者两个小时,最多也就是一两天的时间。这时候,对安全厂商来讲,假如还用代码的方式解决的话,就非常被动。第三点,代码级的服务再加上Web信誉服务,能够使得Web威胁防护起来更及时、更全面,使我们的防护能力进一步提高。所以我今天讲的内容,实际上是从技术角度来讲我们目前针对威胁、风险,我们要在哪一方面做进一步的提高。
徐学龙简介
95—2001年任职北大方正公司,07年担任趋势科技安全顾问,曾组织参与中国财政部、科技部、水利部等中国工商银行等大型网络安全项目。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。