对于木马检测思路的突破,其实也主要体现在以下三个环节:
一是如何在传播链上及时发现木马。鉴于目前主流的木马传播方式是通过网页挂马模式,有必要对网页挂马的概念做一下阐述。网页挂马,其实并不是真的把木马放到合法网站上,而是在合法网站的网页上嵌入一段隐藏的恶意代码或脚本,当浏览网站的用户在访问网站时,这段代码或脚本在后台被执行,使得用户的计算机在不知不觉中到黑客控制的网站中下载了木马文件,从而被木马控制利用。据调查,2008年在遭受木马攻击的用户中,有53%的是通过网页挂马方式中招,而且这种比例在不断增加。可见,网站在木马传播链中起到非常关键的作用。因此,必须加强对网站的主动监查,一旦发现被挂马,及时采取措施,可以确保木马的危害面减小;同时通过检测挂马可以向上追溯,发现托管木马的恶意网站,及时查封并找到木马上传人员、木马制作人员,通过法律手段来进行管控。
二是如何及时判别新的木马和应对木马变种。基于特征检测的传统方式由于数量急剧膨胀,必然带来检测效果的滞后性,无法满足当前形势了。如果我们转换一种思路来看木马产生的本原,可能豁然开朗。木马是人用计算机语言来编写的,因此木马无论如何变化不会逃出人已知的范畴。木马要在计算机中运行,执行木马制作者的目的,就会有相应的行为和动作,而这种行为和动作是可以进行总结归纳的,归纳后形成的检测规则就可以来指导木马检测。这和通过一个一个积累特征方式形成特征库的相比完全不在一个数量级。
三是检测支撑平台选择上的思路转变。医学上对于一种病毒的检测分析往往会采用活体实验的方式,但是不可能在人身体上实验,通常就是选择小白鼠。但是木马不同于生物病毒,对人体没有危害,我们可以通过现在流行的虚拟化技术来模拟实际计算机运行环境,在这个我们称为“沙箱”中来进行木马采样和充分分析,而且即使有危害也不会扩散,很容易恢复。这一点和目前的一些厂商不一样,这些厂商为了拓宽木马的采集,是通过在实际网络计算机上来发现新的样本,似乎有把用户当“小白鼠”之嫌,并有可能获得用户的一些隐私信息,笔者认为有不可取之处。
同样,对于木马的整体防范体系来说,单从木马检测技术层面也不能完全解决,需要配合其它安全产品和技术,并做好组织保障和应急预案。做为信息安全的领航者,启明星辰也有全面的解决思路。
四、检测、防御、响应——360度网站安全解决方案
以网站安全为例,当前网站主要存在如下的风险。结合PDR模型,我们不难发现P、D、R都存在着一些问题。
1.网站防护脆弱:防不住SQL注入、XSS等网站常见的攻击。
2.网站缺乏对安全漏洞、网页挂马的发现机制:往往是网站发生损失和利用造成伤害后才发现被入侵。
3.响应对象不完整:由于缺乏有效的检测,很多网站有事故才响应,不知道有安全漏洞和入侵存在,自然没有及时响应,直至损失被发现才有响应,甚至响应也仅仅停留在恢复层面,而没有解决导致入侵存在的安全问题。
启明星辰是以网站安全360的视角来实施解决之道。根据这一视角,就需要一个不仅仅是简单,而且要完整的安全措施来对应上述这些问题。这一措施必须能够分别加强网站的防御、检测、响应的质量,一方面加强防御,提升有效防护的时间(Pt),一方面缩小Dt(检测的时间)和Rt(响应的时间)。分解了每部分的安全需求,就可以使用明确的安全措施来完善网站安全。
根据网站安全360视角,国内信息安全领域的领军企业启明星辰,提供了完善解决网站安全的产品及服务,从防护、检测、响应三个方面入手,让网站安全变得更简单。据介绍,网站安全360包括三大部件:检测部件(安星服务)、防御部件(天清IPS)和响应部件(源代码审计和应急响应服务)。
1. 检测部件
安星,是被称为网站安全体检专家的服务。它是启明星辰基于安全检测技术成果和专业远程监控安全服务团队,为客户互联网网站的WEB页面进行远程安全检查的有偿服务,包括检查网页挂马和网站漏洞两种可选项目。服务的过程将经过三个层次筛选,第一层是自动化的网页异常搜索,通过远程搜索发现网页异常;第二层进行精确筛选,排除肯定不是攻击的部分;第三层是专业人员的人工审查,确定漏洞或挂马存在的位置、形态、功能等并形成可视化报告。
2. 防御部件
天清IPS,被称为WEB应用入侵防御系统,是专门针对WEB网站攻击进行优化的入侵防御产品。天清IPS是一个硬件设备,通常透明串行模式部署于网站前端,此产品运用了一套启明星辰的专利算法,因此成为目前为数不多能够做到精确阻断SQL注入攻击、XSS跨站脚本攻击的IPS产品,有效防范利用WEB漏洞的入侵网站并实施网页挂马、种植木马后门。
3. 响应部件
源代码审计和应急响应服务,对网站应用程序存在的漏洞、页面中存在的恶意代码进行彻底清除,同时可以选择白盒测试、黑盒测试对网站相关的安全源代码进行检查,找出源代码方面的问题,获得源代码问题所在以及安全修复建议或修改服务。该类服务由启明星辰国家级实验室的专业攻防技术团队(ADLAB)提供支持。一些缺乏专业外援团队的重要网站,能够通过这个专业团队的服务来强化网站系统的安全源代码设计,加强系统自身的安全性。
有了网站安全360各个部件发挥的作用,我们就可以降低网站入侵造成的损失。各部件作用如下图所示:
作为国内信息安全领域的旗舰企业,启明星辰在2009年通过一系列的产品和服务,将网站安全治理工作效率推向了一个新的高度,将防御产品、检测、修复服务相结合,运用更加简单而有效的方式强化网站自身的安全性,防范木马攻击,促进WEB业务应用的健康发展。
五、展望
流感病毒侵袭人类是很正常的事情,H1N1爆发也就有其必然性的。通过技术手段是可以控制SARS、天花等病毒,但这并不意味着人类在大自然中能所向披靡。H1N1事件,时刻提醒人类在和病毒的斗争中不可大意。自然界的神秘莫测使我们无法控制新病毒不出现,但是我们可以通过良好的卫生生活习惯、完善的公共防疫体系和科学技术的突破来控制流感病毒的传播,降低流感病毒造成的危害,最终形成对流感病毒的免疫力。
互联网也是攻击事件和木马的孳生之地,既然我们应用了网络,也就无法不承受黑客、木马的攻击,而且攻击者往往会利用热点事件来集中攻击。如:受甲型H1N1流感事件影响,各类健康专题网站、地方卫生局类网站的关注度和访问量都持续攀升,也因此成为商业黑客选择攻击的目标。因此,及时发现和防范挂马、新型木马会是一个持久性的话题,这就需要安全从业人员不妨用跨界思维来拓宽思路,加强研究,打造一个全新的木马检测防范体系。