8月21日-8月22日,由中国互联网协会、阿里巴巴集团、蚂蚁金服、阿里云等单位共同主办的“2018网络安全生态峰会”在国家会议中心举办。本届大会以“共建安全防线、共治安全环境、共享安全生态”为主题,邀请相关协会领导、工程院院士、国内外网络安全产业界知名人士分享观点,希望汇众智聚众力,共同促进产业健康有序发展。
腾讯智慧安全技术专家徐超受邀参会,并发表题为《流量的战争:探寻安全软件和恶意病毒的对抗史》的演讲,分别从技术和传播等对抗角度讲解,分享腾讯安全在防御恶意软件方面的实战经验。徐超表示,随着互联网的普及度逐渐提高,流量劫持类黑产危害不容小觑。一方面,对被劫持流量的网站来说,网站访问量将大大降级;另一方面,站在用户角度来说,流量劫持不仅严重影响了原来产品的服务与体验,甚至还会带来一定的网络安全隐患。因而,恶意软件与安全软件之间的对抗变得极为激烈。对此,他从传播和技术两方面对恶意软件展开深度剖析。
七大病毒传播阶段:病毒“综合实力”不断上升
近年来,计算机病毒在传播方式和途径上呈现多样化趋势更加明显。病毒的入侵主要来自蠕虫病毒,集病毒、黑客、木马等功能于一身的综合型病毒不断涌现,具备欺骗性增强、破坏方式更加多样、传播速度快、制作成本降低、变种增多、传播更具不确定性和跳跃性、具有版本自动在线升级和自我保护能力、以及编制采用了集成方式的一系列特点。
徐超表示,病毒在传播渠道上的对抗也经历了不小的变化,从病毒传播的演变进程来看,总体经历了以下七个阶段:直接进行阶段、捆绑传播、装可怜、正规软件做载体、云控传播、Ghost传播、以及烧主板。可以看出,病毒传播呈现隐蔽性强、散布广泛、危害性大等显著特征。
同时,他详细阐述了每一阶段的技术特点和应对方法,如在云控传播阶段,病毒修改的主页等信息全部存放在云端,均由云端来进行控制,常用的解决方案是利用威胁情报切断C&C和常规防御等。
七大黑产技术特征:招数“诡计多端”前所未见
在徐超看来,黑产技术和反安全软件的快速发展逐渐与安全软件展开激烈的对抗。一方面是不法黑客基于主页技术,围绕注册表、注册表的对抗进阶、快捷方式、假IE、第三方浏览器、Explorer的HOOK、以及其他的其他奇淫异巧等阶段展开对抗。
以不法黑客利用Apache Struts2的高危漏洞攻击大量企业web服务器为例,不法黑客利用攻击工具WinStr045检测网络上存在漏洞的web服务器,通过远程执行各类指令进行提权、创建账户、系统信息搜集,然后将用于下载的木马mas.exe植入,进而利用mas.exe的木马下载器从多个C&C地址下载更多木马,给企业网站的安全构成巨大的威胁。
另一方面是病毒与杀软之间的对抗,主要体现在增强病毒自身的自保护能力及削弱杀软的查杀能力两个方面。其不仅利用MD5对抗、文件名对抗、抢早、重定向、隐藏自身、设置守护线程等方法增强病毒自身的自保护能力,而且还通过阻止联网、针对性文件过滤拦截、删除杀软驱动注册表服务项、删除杀软注册表启动组、rootkit回调注册表、拦截安全软件进程、以及隐藏安全软件界面等方法来削弱杀软的查杀能力。
在技术对抗中,顽固木马由于具备隐蔽性高、破坏力强,且传统查杀方式无法根除的技术特征,引发的威胁尤为严重。不法黑客通过构造僵尸网络、抢夺浏览器主页、静默推装软件等牟取到巨额利益,使普通网民的系统安全遭受严峻的安全威胁。
针对日益严峻的顽固木马形式,腾讯智慧安全守护行业的同时,在用户侧也推出了相关的工具,例如腾讯电脑管家急救箱功能,通过深入系统底层,对病毒样本高危行为进行精准拦截及查杀,实现顽固木马彻底清除。当用户发现电脑疑似中招顽固木马,或者普通杀毒无法检出或者清理时,使用该功能可对电脑成功实施“急救”。同时配合bootclean清除技术、rootkit通杀等功能,可对电脑中存在的顽固病毒、深度隐藏病毒而开发的病毒木马彻底完成查杀。
除此以外,面对近年来频发的勒索病毒、漏洞病毒、网络诈骗等主流网络攻击手段,腾讯电脑管家不断增强和完善文档守护者、漏洞修复、诈骗信息查询三大安全能力,在深层的安全防护能力上将为用户带来更安全的使用体验。
(新闻稿 2018-08-23)