找回密码
 注册创意安天

【安天黄历】安天12月推出校园网络安全探云计划 [2009-10-23]

[复制链接]
发表于 2010-2-9 13:46 | 显示全部楼层 |阅读模式
22733896.jpg
安天实验室首席技术构架师肖新光(腾讯科技摄)

腾讯科技讯 10月22日消息,2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”,腾讯科技作为独家网络支持媒体对大会进行了全程直播。

23日进入会议第二天,在分会之“网络安全新技术”会上,安天实验室首席技术构架师肖新光发表了关于“反挂马技术的发展、局限与展望”的演讲。他表示,安天实验室在反挂马和恶意地址发现有三套体系,一是猎狐页面探测体系;二是锐甲终端沙箱体系;三是堆栈追溯体系。

此外,肖新光还透露,面向校园网的公益性计划探云计划将在12月1日正式推出,该计划是建立分布式的,可以建立自由流量的分布实验床,提供云支撑中心,提供载体设备,以高校网通过实验床来获取安全状况,从而运用相关技术来解决校园网络的安全威胁。(文/郭晓峰)


以下是安天实验室首席技术构架师肖新光发言实录:

主持人贾焰:范先生提了一个很重要的问题是Web应用的安全和数据库本身的安全,是又一个值得研究的核心领域,谢谢范先生。有请下一位演讲嘉宾是肖新光先生,安天实验室首席技术架构师,武汉大学客座教授、兼职教授,参加了29届奥运会网络安全保障工作,他报告的题目是“反挂马技术的发展、局限与展望”。

肖新光:今天时间非常仓促,中午贾老师给了一个任务,没办法,是我在武汉大学已经讲过的报告,按照我以往地习惯从不在两个会场讲一个内容,但是今天会尝试加入新的内容。

关于反挂马技术的演进与探索,我们给大家带来一些有关信息。首先,用一个非常老的示图来看一下从蠕虫至今所带来的挂马现象。

(图)2003年7月7日黑龙江主节点全网病毒扫描日志,完全由蠕虫组成。

(图)2008年7月的主节点全网病毒也由蠕虫组成。

在2005年1月4日,病毒全库统计有2304种,蠕虫5170种,特洛伊木马有10554种,木马的数量随后提升的速度也是相当快的。

因为操作系统、地下经济的利益化、小众化导致了这种趋势的产生,漏洞的挖掘技术也使得木马越来越多。浏览器挂马的原因是源于浏览器是怎样工作的。

木马首先必然要完成下载才能最终在客户端发生效果,木马的效果有页面元素伪装、脚本运行漏洞、组建下载、渲染页面等方式。

我们来看木马的执行,主要是通过类似页面元素渲染过程、安装包缺损、脚本组建漏洞、COM组建外部通讯等等来实现木马执行,当执行之后就会执行一系列反制AV,自我隐藏,还会自动下载新的版本等等。

在这种情况下,由于浏览器曾经攻防标准,也成为攻防的源头,业内对浏览器也进行了主要的防护应对。当前主要的恶意地址发现技术,主要是进行页面探测,客户端防护和行为监控,或者是基于流量的监测过程。

目前,大量的兄弟厂商和团队都取得了相关的研发成果。一方面传统的AV厂商各自推出自己的解决方案;在这其中有很多经验值得借鉴。如卡巴斯基凭借良好的系统样本的检测率来遏制恶意程序和恶意脚本的下载,它的主要防护不在于它的浏览器,而在于它的屏障能力。赛门铁克扩展了传统方式,瑞星安全助手提供了从可疑、上报、应急处理分析、更新黑名单、客户单检测等方式。360采用IE创建进程检测,站点黑名单检测等等方式。这些AV厂商的尝试是有益也有价值的,做了大量的工作。谷歌对搜索引擎反挂马,半个小时更新一次。知道创宇采用的是集中式蜜罐集群,集中数据中心,主动获取网站信息,蜜罐模拟用户行为等等。

那么,安天实验室在反挂马和恶意地址发现有三套体系,一是猎狐页面探测体系;二是锐甲终端沙箱体系;三是堆栈追溯体系。

猎狐是2007年在奥运安全保障背景下提出的,曾经发现过用于奥运保障的径向挂马现象。我们为猎狐配套提供传统的脚本检测,用来寻找指定字符串的过程,对发现的指定字符串进行语法处理和压缩。猎狐系统本身也有一定的优势,它能够在一个复杂的挂马页面中分析页面中的复杂关系,同时提供一个视图,提供形象分析,并分析其挂马的源头。

锐甲是一个完全免费浏览器安全防护工具,发现过多次主流站点和金融机构的挂马事件,包括两家国有银行网站的挂马事件。同时,它提供搜索引擎相关标注。锐甲技术点的核心是监控文件进程和文件配建,其他的技术没有太大的差异。

堆栈追溯的意义,通过堆栈追溯分析出页面进行挂马的实施情况。如,在2009年7月7日-8日之间,我们采用锐甲发现了大量的挂马攻击。

当然,我们也遇到了问题,挂马和注入浏览器的页面并不存在于一起,而是用户访问仿冒页面之后下载了攻击程序,我们需要重新理顺威胁的分布。我们过去把焦点放在了挂马方面,而忽视了黑客弹药库的挂马站点。那么,我们提出云支撑下的流量检测,因为无论木马怎样逃避,都无法回避最终到达用户网站上的挂马方式。

在高速引擎后面串行文件环节,整个病毒检测是依赖于分片来进行的,海量的信息会造成资源的大量下降,最终中科网采用的是这样一种方式,通过探云锁定可以文件地址,把资源地址列表交由后端集中下载分析的云计算支撑中心去体现,最后由云支撑中心来完成定性过程,这样就解决了前端探云的计算能力、吞吐量不能平衡的问题,通过云支撑中心计算之后再通过屏蔽规则发送给后端的路由器和防火墙设备来供它使用。目前,云端分析可能实现95%的样本,完全可以不依赖于人工手段分析,只有5%需要人工确认。

哈尔滨某大学出口获得了双向流量600M的数据,我们对相关的URL进行去重,平均每天发现242新病毒样本,其中90%为木马文件。那么,我们可以发现木马挂马存在一定规律,也有值得总结的地方,比如有.CN的新域名,只要对这些域名进行封锁处理就可以了,这样其他的配套站点就会完全失效。当然,也有采用IP方式的,但它们基本上是集中的,也在一个站点上平均要悬挂十个以上的挂马网站。

我觉得基于挂马站点进行分析很重要的一点是能够进行关联分析,通过这种关联分析,我们在05年协助公安机关协查了很多入侵案件,但之后就不行了。因为,没法判断样本的关联关系,就无法找到它们之间的关联。那么,我们通过同一个站点放过哪些不同木马,以及同一个木马存在于哪些不同站点来梳理整个中国地下挂马网络的关联结构和它的家族谱系,以此作为一个研究节点。同时,我们可以看到仅在一个校园网出口的600M节点就能够取得这样的捕获效果,如每天242个新病毒样本,有这么强的捕获能力,还为厂商提供新的样本。

探云计划得到了清华大学等高校在内的很好支持,它实际上是面向校园网的公益性计划,建立分布式的,可以建立自由流量的分布实验床,提供云支撑中心,提供载体设备,从高校网通过实验床来获取安全状况,从而运用我们的技术来解决校园网络的安全威胁。

挂马的角色和资源关系,攻击者通过某个脆弱站点进行攻击,在网络上分布了很多的地下ICP资源,攻击者对站点进行探测并找到站点其中的脆弱站点,对脆弱站点实现入侵,同时在入侵过程中建立挂马和相关的ICP资源的关联,通过这些关联来对脆弱站点挂马,最终控制终端用户。那么,站点仍是正常站点,脆弱站点成了挂马站点,终端用户则成了嫌疑人。

从站点防护的角度来看也是一个大面积的事情,不是我们的工作,去掉五角的两个角,我们把自身锁定在挂马站点、放马站点和受威胁终端方面,针对这三个方面提供页面获取、流量分析、终端保护和云端分析等一系列体系,最后达成各种安全手段互联互通,实现三位一体的综合技术手段,这样才能更好地避免单一手段所带来的不足,形成一个综合的、立体的捕获能力和分析手段。

探云计划将于2009年12月1日正式推出,欢迎大家和我联系,我的报告结束了,谢谢大家。

主持人贾焰:我们知道木马是身边最危险的敌人,今天肖新光先生对这个问题为我们做了一个非常深入地剖析。感谢大家参加峰会,峰会到此结束,谢谢大家!

[责任编辑:viasionguo]
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-25 10:58

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表