自03年SARS以来,类似这种具备广泛传染性的病毒事件屡见不鲜,从禽流感再到现在的甲型H1N1,可谓“一波未平,一波又起”。
笔者于2003年写过一篇“从SARS看网络安全预警与应急保障体系”,主要谈的是面对类似SARS这种突发的网络安全事件中检测、预警、应急体系的粗浅思路,而时隔6年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
一、木马和流感病毒之间的类比
根据卫生专家的定义,甲型H1N1流感病毒属于病毒家族中正黏液病毒科,可以分为l5个H亚型。流感病毒的一大特性就是多变性。如果人流感病毒和禽、猪流感病毒经过抗原转换形成新的人类流感病毒毒株,就可以在人与人之间传播。人群对这种新的病毒毒株没有免疫力。本次北美发现的A/H1N1病毒就具有来自猪、禽类和人类的基因片段,因此防范这种病毒还是有比较大的挑战性。
木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是:木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
根据木马程序对计算机的具体控制动作方式,可以把现存的木马程序分为以下的几类:
1.远程访问型木马
远程访问型木马是现在最广泛的特洛伊木马。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(BackOffice)、国产的冰河等。
2.密码发送型木马
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
3.键盘记录型木马
键盘记录型木马只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4.毁坏型木马
大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间灰飞烟灭。
5.开启后门型木马
如:FTP型木马就是打开被控制计算机的21端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
6.下载型木马
下载型木马是近年来出现一种新型木马,本身不对电脑做破环,但该木马一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地。这些木马以“集群作战”的方式,从各个途径彻底破坏用户电脑安防体系。木马下载器具有很强的驱动级自我保护能力,可以让杀毒软件的普通查杀模式全都失效,并且传播途径非常广泛,目前主要方式是通过网页挂马的方式来进行。
结合H1N1的流感病毒和木马的特点,我们可以清楚看到它们的相同点和不同点。
相同点:
木马和流感病毒都是独立存在的个体。
对于植入对象有明确的危害性。
被植入对象都能够表现出一定症状。
不同点:
流感病毒具备自繁殖性和自动感染,因此危害比较大,而木马本身不具备繁殖性和自动感染的功能,只能依赖木马作者或获取源代码的人进行变种,并通过网页挂马、社会工程或结合蠕虫等方式扩大传播面。
流感病毒源自于自然界,形成机理比较复杂,涉及到医学、病毒学、基因学等多个层面,目前还需要进一步研究。而木马完全源自人为,形成模式有规律可循。
二、防治流感病毒和木马检测防范的异同
1.检测思路的异同
从SARS防治的成功经验来看,防范流感病毒的的首要条件就是及时发现疑似病例。具体的方式就是国家的高度重视,同时配合广泛的媒体宣传和报道。对于这种输入型的流感病毒,加强机场、出入境人员的检查和事后的人员追查。在医院专门设置发热门诊,进行有效过滤。这些都是从管理措施来提升检测的有效性。而另一个层面,从发现疑似病例到确诊这个阶段,就是纯技术层面的了。从检测模式来看,基本可以归为如下流程:发现确诊案例后提取其相关的样本,经过专门的检测机构进行一系列提取、分离等动作,并配合基因测定等方式,最终确定病毒样本,然后再进入到耐药性等一系列测试,以发现有效抗病毒的药物。
现在的木马的检测流程与这个过程有非常相似的地方,安全厂商及相关的实验室、研究机构通过截取、用户主动上报等方式获得新的木马样例,经过内部的脱壳、反编译等分析手段,发现木马的特征码,然后发布检测和清除方法。
如果说两者的不同点,还在于获取样本和分析周期上。相比较而言,对于单个木马的分析和特征提取比分析单个流感病毒更容易一些,投入相对小,分析周期快。但是从新样本增加的趋势来看,新型木马出现的数量、频度远高于新型流感病毒出现的数量、频度,2008年新增木马的数量是27.6万个,比2007年相对上升了5.6%,这个数字相当的惊人。
2.检测思路面临的困境
流感病毒源自于自然界。科学发展到现在,虽然有了非常大的进步,但人类对于自然界的了解和掌控还只是前进了一小步。因此,对于流感病毒的及时检测发现注定存在一定的缺陷,我们很难在这个方面取得质的突破。
同样,对于新型木马检测目前在业界已经成了一个难题。在2000年初,传统的防病毒厂商在宣传产品优势的时候,木马样本库还是厂商重点宣传的指标,可以达到上万个。但是到了现在,木马的数量发展速度已经远远超出了防病毒厂商的特征库更新能力。不管防病毒厂商的收费模式如何变化,电脑用户的对于病毒厂商的抱怨越来越大,信任度也越来越低,以致于出现“杀毒软件”是否应该免费的巨大争论,传统的防病毒厂商面临着生存困境。究其根本原因,其实是防病毒厂商的传统检测机制出了问题。由于木马的二进制属性和互联网的普及,木马的变化、新增能力远远超过自然界的病毒生物属性的变化能力。传统的检测模式就像“黑客帝国”一样,演变为是一场人和机器人之间的战争。这是一场不对等的战役,几乎没有胜利的可能。不转变检测思路,木马泛滥的问题是无法解决的。
三、如何寻求检测思路的突破
不论是应对H1N1流感病毒还是网络安全中的木马问题,从理论角度来看都是可以用现有的动态安全模型PDR(Protect+Detection+Response)来考虑。
对于流感病毒,经过SARS的教训和经验总结,我们在防御、检测、响应三个层面都已经有了很大的提升。首先,医院的治疗条件在不断提高,中国的第一例HIN1患者成功出院就是证明。其次,在响应层面,对于这种事件从世卫组织到国家的各级政府、卫生防疫部门都建立起了应急响应机制和预案,也没有问题。唯一要提高的是检测速度,但是至少检测体系也初步建立起来,重点是在传播环境去及时布控和发现。