第三節 主動防禦:有效解決三大安全問題
安全廠商在與病毒的對抗中,面臨著眾多的問題,包括反病毒產品的普遍適用性、用戶的薄弱安全意識如何用技術彌補、流氓軟體(灰色軟體)與病毒的模糊辨別等一系列問題。但是在2007年中,有三大問題特別值得重視,它給整個安全行業帶來了巨大的壓力:
這三個問題是:
第一、如何發現判定未知病毒(未知威脅)。
第二、針對未知病毒(威脅)的氾濫,怎樣增強計算機系統的主動防禦能力;
第三、如果有些未知病毒的侵入不能完全避免,怎樣才能降低它們所帶來的損失;
一、如何發現(判定)未知威脅
從2007年的發展狀況看,新增病毒數量仍然呈現爆炸式增長,這給病毒分析人員帶來越來越大的壓力。根據專家介紹,一個熟練的病毒工程師,每天可以分析40-50個樣本,而現在每天出現在網絡上的病毒樣本平均為3000-4000個,這樣的產生速度,幾乎已經到了廠商捕獲和分析能力的極限。
如果不能在技術上遏制這個趨勢,那就會產生兩個後果:傳統的病毒採集渠道不堪重負,在短時間內收集不到必須的樣本;而限於現有的病毒分析能力,即使收集到足夠的病毒樣本,海量的病毒也會讓病毒分析人員無所適從。這就導致殺毒軟體賴以生存的「特徵碼掃瞄」技術面臨嚴峻的挑戰。
因此,越來越多的安全廠商開始研究如何快速的發現(判別)未知(威脅),行為分析被認為有效解決這一問題的手段之一。
目前,行為分析主要分為虛擬機方式和監控方式。虛擬機行為分析是模擬操作系統環境,把程序放入虛擬機中「運行」觀察程序的系統動作模式(行為)進行判定;而監控行為分析方式是指在真實操作系統環境中攔截(觀察)程序的系統動作模式(行為)進行判定。
基於虛擬機的行為分析
瑞星很早就開始對基於虛擬機的行為分析技術進行研究,並在2003年底將該技術應用到瑞星殺毒軟體2004版當中。當時的掃瞄引擎不僅可以有效地發現DOS及Win9X下的感染型未知病毒,並且還能夠安全地清除掉這些未知病毒。
由於技術的發展,使得Windows系統越來越複雜,要想模擬出較為「完美」的系統環境需要佔用較大的系統資源,這使虛擬機行為分析變得較為困難。儘管如此,虛擬機技術仍然在反病毒領域有著較高的地位,瑞星也沒有放棄對虛擬機技術的研究。比如,瑞星殺毒軟體2007版採用的虛擬機脫殼引擎就是通過製造一個虛擬的運行環境,對一些加殼加密的病毒進行脫殼,查殺病毒。由於虛擬機脫殼不需要創造一個完整的運行環境,因此對系統資源佔用很小,速度也較快。
隨著計算機硬體技術的不斷發展,Intel、AMD的CPU直接支持虛擬機指令,使得虛擬機的執行效率得到很大改善,虛擬機行為分析將會成為未來反病毒軟體查殺未知病毒的重要技術手段之一。
基於監控的行為分析技術
基於監控的行為分析技術,瑞星殺毒軟體2007版也已經開始採用。IE執行保護是針對目前網絡掛馬現象嚴重而開發的功能,它會自動對程序的動作進行判斷。當發現帶毒網站有試圖利用用戶計算機漏洞自動下載運行病毒的動作時,自動將其阻止。
瑞星殺毒軟體2008中引入的惡意行為檢測是一套較為成熟的基於監控的行為分析。它完全模擬反病毒專家分析病毒的過程,先對程序動作進行觀察,然後分析程序動作之間的邏輯關係,並使用預裝的病毒模式特徵庫進行判斷,進而檢測出病毒。
由於行為分析技術是基於程序的行為特徵進行判斷,屬於一種模糊判別。因此,行為分析不可避免的會遇到誤判的問題。某個主動防禦軟體的做法是引入白名單進制,發現有誤判的就加白名單,致使軟體要像升級病毒庫一樣升級白名單庫,同時會造成白名單資料庫龐大,對系統資源佔用較高的問題。同時,當一個正常軟體升級後,必須將其升級版本也加入白名單,否則就會再次發生誤判。
為了解決這一問題,瑞星殺毒軟體採用了病毒的家族特徵判別技術,有效的提高了行為分析的準確率。
四、小結:主動防禦的現狀和展望
綜上所述,儘管主動防禦技術在2007年得到了廣泛的應用和認可,單單在瑞星軟體就有了5000餘萬用戶的大範圍實用。但從用戶角度來講,主動防禦技術的某些先天弱點還有待改善,例如需要用戶交互的問題過多,彈對話框要求用戶確認;如果單純依靠主動防禦,則誤殺率還不盡如人意等等,這些都是殺毒軟體未來的提高方向。
如果在技術上沒有新的突破,安全廠商將在這場戰鬥中處於下風。
2007年裡,幾乎所有的主流廠商都投入了大量精力,應對互聯網絡的未知安全威脅。而瑞星公司在這場技術競爭中已經位於前列,07年下半年,瑞星殺毒軟體2008版發佈,其中集成的「主動防禦」、「虛擬機脫殼」、「木馬強殺」等技術得到了廣大用戶的認可,在實際應用中起到決定性的作用。
據專家介紹,主動防禦等技術的推出,可以在很大程度上解決目前的病毒數量激增、木馬病毒氾濫的實際情況。針對所有廠商面臨的三大安全問題,有了比較滿意的解決辦法。
第一、如何增強系統防禦攻擊的能力
由於Windows系統的特性,系統中存在著大量可以被病毒利用或者攻擊的脆弱點。對2007年新出現的大量病毒分析得出,黑客們已經挖掘出了越來越多的脆弱點,並且在對這些脆弱點的利用及攻擊,在技術已經非常成熟。
比如,IFEO劫持(映像劫持)技術是2007年病毒、木馬普遍採用的一個攻擊手段。通過IFEO劫持,黑客可以很輕易地使一些殺毒軟體、個人防火牆及其它安全類工具無法運行。
而Hosts表劫持也是近幾年較為流行的一種劫持手段。病毒通過改寫系統Hosts文件,可以將用戶的正常網絡訪問轉向到黑客指定的網站上。比如,用戶輸入了正確的網上銀行地址,但實際訪問的則是黑客實現準備好的一個假冒的銀行網站或帶毒網站。另外,病毒還利用此種手段阻止一些殺毒軟體通過互聯網升級。
在瑞星殺毒軟體2008版的智能主動防禦中,內置了系統加固功能,對系統中易被病毒攻擊的註冊表、系統進程、系統文件中的數十個脆弱點進行保護,自動阻斷病毒對系統的攻擊。
第二、如何降低未知威脅(病毒、黑客)攻擊帶來的損失
由於種種複雜的原因,很多病毒能夠突破殺毒軟體的防護。例如,用戶沒有及時更新病毒、系統沒有打好補丁。這時候就需要考慮:即使病毒能夠侵入用戶電腦,也要把用戶遭受到的損失減到最低。
獲取經濟利益已經成為近年來黑客編寫病毒的最終目的,2007年截獲的病毒中,木馬病毒超過六成,並且絕大多數都為盜號木馬。雖然病毒數量眾多,但它們盜取帳號所用的技術手段幾乎相同,均是採用發消息、讀寫目標程序記憶體、監聽鍵盤輸入等技術,因此,將應用程序的進程隔離、阻止了病毒的這些動作,就可以有效地阻止絕大多數的盜號事件發生。
也就是說,當做好這些保護時,即使木馬病毒已經侵入用戶電腦,也做不了任何危險操作,不能偷取密碼、不能破壞系統進程。這樣對用戶來講,安全程度已經大大提高。
瑞星殺毒軟體2008版「智能主動防禦」中的應用程序保護,及基於該技術的「賬號保險櫃」即是基於進程保護的理念開發,它可以將用戶的網銀、網游、QQ等應用程序保護起來。即使用戶的計算機不慎感染了新出現的未知盜號木馬,也可以最大限度地保護用戶的帳號不被黑客盜取。
此外,瑞星「智能主動防禦」中的應用程序訪問控制可以限定用戶指定程序對系統文件、註冊表等的訪問權限,在不同應用領域也起到重要的作用。例如,在網絡伺服器上,管理員完全可以禁止除必要程序之外的任何操作,這樣病毒就無法利用低權限應用程序的漏洞,來獲取更高級的權限。
(