2018網絡安全生態峰會:騰訊智慧安全探尋殺軟與病毒對抗史
責編:gltian |2018-08-23 10:42:118月21日-8月22日,由中國互聯網協會、阿里巴巴集團、螞蟻金服、阿里云等單位共同主辦的“2018網絡安全生態峰會”在國家會議中心舉辦。本屆大會以“共建安全防線、共治安全環境、共享安全生態”為主題,邀請相關協會領導、工程院院士、國內外網絡安全產業界知名人士分享觀點,希望匯眾智聚眾力,共同促進產業健康有序發展。
騰訊智慧安全技術專家徐超受邀參會,并發表題為《流量的戰爭:探尋安全軟件和惡意病毒的對抗史》的演講,分別從技術和傳播等對抗角度講解,分享騰訊安全在防御惡意軟件方面的實戰經驗。徐超表示,隨著互聯網的普及度逐漸提高,流量劫持類黑產危害不容小覷。一方面對被劫持流量的網站來說,網站訪問量將大大降級;另一方面站在用戶角度來說,流量劫持不僅嚴重影響了原來產品的服務與體驗,甚至還會帶來一定的網絡安全隱患。因而,惡意軟件與安全軟件之間的對抗變得極為激烈。對此,他從傳播和技術兩方面對惡意軟件展開深度剖析。
七大病毒傳播階段:病毒“綜合實力”不斷上升
近年來,計算機病毒在傳播方式和途徑上呈現多樣化趨勢更加明顯。病毒的入侵主要來自蠕蟲病毒,集病毒、黑客、木馬等功能于一身的綜合型病毒不斷涌現,具備欺騙性增強、破壞方式更加多樣、傳播速度快、制作成本降低、變種增多、傳播更具不確定性和跳躍性、具有版本自動在線升級和自我保護能力、以及編制采用了集成方式的一系列特點。
徐超表示,病毒在傳播渠道上的對抗也經歷了不小的變化,從病毒傳播的演變進程來看,總體經歷了以下七個階段:直接進行階段、捆綁傳播、裝可憐、正規軟件做載體、云控傳播、Ghost傳播、以及燒主板。可以看出,病毒傳播呈現隱蔽性強、散布廣泛、危害性大等顯著特征。
同時,他詳細闡述每一階段的技術特點和應對方法,如在云控傳播階段,病毒修改的主頁等信息全部存放在云端,均由云端來進行控制,常用的解決方案是利用威脅情報切斷C&C和常規防御等。
七大黑產技術特征:招數“詭計多端”前所未見
在徐超看來,黑產技術和反安全軟件的快速發展逐漸與安全軟件展開激烈的對抗。一方面是不法黑客基于主頁技術,圍繞注冊表、注冊表的對抗進階、快捷方式、假IE、第三方瀏覽器、Explorer的HOOK、以及其他的其他奇淫異巧等階段展開對抗。
以不法黑客利用Apache Struts2的高危漏洞攻擊大量企業web服務器為例,不法黑客利用攻擊工具WinStr045檢測網絡上存在漏洞的web服務器,通過遠程執行各類指令進行提權、創建賬戶、系統信息搜集,然后將用于下載的木馬mas.exe植入,進而利用mas.exe的木馬下載器從多個C&C地址下載更多木馬,給企業網站的安全構成巨大的威脅。
另一方面是病毒與殺軟之間的對抗,主要體現在增強病毒自身的自保護能力及削弱殺軟的查殺能力兩個方面。其不僅利用MD5對抗、文件名對抗、搶早、重定向、隱藏自身、設置守護線程等方法增強病毒自身的自保護能力,而且還通過阻止聯網、針對性文件過濾攔截、刪除殺軟驅動注冊表服務項、刪除殺軟注冊表啟動組、rootkit回調注冊表、攔截安全軟件進程、以及隱藏安全軟件界面等方法來削弱殺軟的查殺能力。
在技術對抗中,頑固木馬由于具備隱蔽性高、破壞力強,且傳統查殺方式無法根除的技術特征,引發的威脅尤為嚴重。不法黑客通過構造僵尸網絡、搶奪瀏覽器主頁、靜默推裝軟件等牟取到巨額利益,使普通網民的系統安全遭受嚴峻的安全威脅。
針對日益嚴峻的頑固木馬形式,騰訊智慧安全守護行業的同時,在用戶側也推出了相關的工具,例如騰訊電腦管家急救箱功能,通過深入系統底層,對病毒樣本高危行為實現精準攔截及查殺,實現頑固木馬徹底清除。當用戶發現電腦疑似中招頑固木馬,或者普通殺毒無法檢出或者清理時,使用該功能可對電腦成功實施“急救”。同時配合bootclean清除技術、rootkit通殺等功能,可對電腦中存在的頑固病毒、深度隱藏病毒而開發的病毒木馬徹底完成查殺。
除此以外,面對近年來頻發的勒索病毒、漏洞病毒、網絡詐騙等主流網絡攻擊手段,騰訊電腦管家不斷增強和完善文檔守護者、漏洞修復、詐騙信息查詢三大安全能力,在深層的安全防護能力上將為用戶帶來更安全的使用體驗。