国精品无码一区二区三区在线,欧美性XXXXX极品少妇,亚洲伊人成无码综合网

【文稿】APT對(duì)傳統(tǒng)反病毒技術(shù)的威脅和我們的應(yīng)對(duì)嘗試

時(shí)間 :  2012年10月20日  來(lái)源:  安天


        編者按:本文稿是根據(jù)作者2012年10月20日在CNCC2012中國(guó)計(jì)算機(jī)大會(huì)信息安全專題論壇速記稿,整理增刪而成。

       1、 引言

        APT(Advanced Persistent Threat,高級(jí)持續(xù)性威脅)是我們目前非常感興趣的方面,我們也曾多次在公開(kāi)場(chǎng)合談?wù)揂PT,而與上一次在NINIS(國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所)的安全威脅論壇中總結(jié)我們的一些不足相比,我們已取得了更多實(shí)際的工作進(jìn)展。今天我想站在傳統(tǒng)的反病毒從業(yè)者的角度(而不只是站在一個(gè)分析者的角度)再進(jìn)行一次自我的分析和反思。

        無(wú)論是談APT還是談任何安全威脅,以至于談到任何安全問(wèn)題或安全事件,都脫離不開(kāi)幾個(gè)基本的要素。像一切其他事物一樣,安全事件的要素必然也包括:時(shí)間、地點(diǎn)、“人物”等等,這就引出了我們今天要討論的話題:試想在APT時(shí)代的時(shí)間、地點(diǎn)和人物觀,與在傳統(tǒng)的病毒時(shí)代的時(shí)間、地點(diǎn)和人物觀之間有什么不同。

       1.1 對(duì)比之“時(shí)間”

        首先讓我們從時(shí)間的角度回顧一下更為傳統(tǒng)的惡意代碼。在感染式病毒、DOS病毒基于磁盤傳播的時(shí)代,最早的惡意代碼是由于人與人之間或設(shè)備與設(shè)備之間簡(jiǎn)單的介質(zhì)交換產(chǎn)生的,這是一個(gè)極度的慢速擴(kuò)散的結(jié)果。而“時(shí)間”這個(gè)概念真正被提升到反病毒工作者的意識(shí)日程上,則是在蠕蟲(chóng)時(shí)代到來(lái)之后。杜躍進(jìn)博士曾把惡意代碼斷代劃分為蠕蟲(chóng)時(shí)代、木馬時(shí)代和竊密時(shí)代,我的理解這是一個(gè)從“以手段為主導(dǎo)”向“以對(duì)象目標(biāo)為主導(dǎo)”的演進(jìn)。盡管上世紀(jì)90年代末,類似Melissa、Happy99等蠕蟲(chóng)已經(jīng)出現(xiàn),但所謂蠕蟲(chóng)時(shí)代多數(shù)人基本認(rèn)為是從2000年開(kāi)始的。

病毒名稱 釋放時(shí)間 發(fā)現(xiàn)時(shí)間
CodeRedII 2001年8月3日 2001年8月3日
沖擊波(Blaster) 2003年8月11日 2003年8月12日
震蕩波(Sasser) 2004年4月30日 2004年5月1日
Zotob 2005年8月13日 2005年8月16日
Nyxem 2006年1月20 2006年2月3日
 
表1-1蠕蟲(chóng)時(shí)代
 

        此處我們列舉了從2001年到2006年5個(gè)比較典型的惡意代碼,包括像CodeRedII、沖擊波、震蕩波等這些具有快速傳播能力且赫赫有名的惡意代碼,我們可以得出一個(gè)結(jié)論,無(wú)論當(dāng)時(shí)這些惡意代碼把反病毒廠商和安全響應(yīng)組織打得多么措手不及,但不可否認(rèn)的是這些安全團(tuán)隊(duì)對(duì)它的感知時(shí)間都沒(méi)有超過(guò)24小時(shí)。從另一種意義上來(lái)講,當(dāng)代反病毒廠商的應(yīng)急捕獲體系是經(jīng)過(guò)蠕蟲(chóng)時(shí)代的快速網(wǎng)絡(luò)傳播感染的歷練所成熟起來(lái)的,過(guò)去的反病毒對(duì)抗是一種捕獲-辨識(shí)對(duì)抗到查殺對(duì)抗的過(guò)程,在這個(gè)過(guò)程中,更多是對(duì)我們捕獲鏈條和規(guī)劃反噬的穿透,并形成了這樣一種時(shí)間鏈條。

病毒名稱 釋放時(shí)間 發(fā)現(xiàn)時(shí)間
Stuxnet 2009年6月 2010年7月
Duqu 2007年或2008年? 2011年8月
Flame 2007年12月之前? 2012年5月

  表1-2APT時(shí)代
     
        與之對(duì)比,我們?cè)倏匆豢碅PT時(shí)代的時(shí)間鏈條。在APT時(shí)代有三個(gè)非常典型的惡意代碼:Stuxnet、Duqu和Flame。我們將釋放推測(cè)時(shí)間與發(fā)現(xiàn)時(shí)間進(jìn)行一下對(duì)比:
 
       ?  Stuxnet是在2010年7月被發(fā)現(xiàn)的,根據(jù)其對(duì)應(yīng)的時(shí)間戳信息,我們認(rèn)為它的釋放時(shí)間是在2009年6月;
       ?  Duqu是在2011年8月被發(fā)現(xiàn)的,目前認(rèn)為它的釋放時(shí)間是在2007年底或在2008年初;
       ?  Flame則更晚,它在2012年5月才被發(fā)現(xiàn)。但從其一些早期被發(fā)現(xiàn)的驅(qū)動(dòng)以及陸續(xù)注冊(cè)的域名來(lái)看,其體系在2007年底就已經(jīng)開(kāi)始了早期的活動(dòng)。
 
       從上面的時(shí)間對(duì)比中,我們可以看出令整個(gè)安全業(yè)界感到非常尷尬的一點(diǎn),就是這些APT蠕蟲(chóng)至少存在了幾乎一年之久才被業(yè)內(nèi)廣泛感知和進(jìn)行相應(yīng)處理。而更讓安全業(yè)界感到尷尬的是,根據(jù)現(xiàn)在的時(shí)間鏈條推導(dǎo),這些惡意代碼的釋放時(shí)間正好與發(fā)現(xiàn)時(shí)間的順序相反。我們基本上認(rèn)為,這次的整個(gè)APT事件就是以最終徹底破壞伊朗相關(guān)工業(yè)體系的Stuxnet為最終攻擊結(jié)果,而以Flame和Duqu為前置的搜集前導(dǎo)。也就是說(shuō)在Flame幾乎長(zhǎng)達(dá)5年的活躍時(shí)間內(nèi),整個(gè)安全業(yè)界沒(méi)有任何感知,直到最后Stuxnet發(fā)動(dòng)致命一擊,安全業(yè)界才開(kāi)始關(guān)注工控系統(tǒng)安全,關(guān)注APT攻擊,并通過(guò)逐步的定向、發(fā)現(xiàn)、挖掘,在有用戶提交樣本的配合下,最終發(fā)現(xiàn)了最早的Flame。這種“釋放時(shí)間->發(fā)現(xiàn)時(shí)間”關(guān)系的倒錯(cuò),反映了整個(gè)APT時(shí)代時(shí)間觀的變化,反病毒廠商已經(jīng)由“24小時(shí)”敏銳感知能力退化到了以“月”甚至以“年”為單位的遲鈍感知能力。
 
       1.2 對(duì)比之“地點(diǎn)”
 
       我們?cè)賮?lái)回顧一下傳統(tǒng)的病毒時(shí)代的地點(diǎn)觀的變化。圖1-1是國(guó)外有關(guān)機(jī)構(gòu)所發(fā)布的Slammer蠕蟲(chóng)發(fā)作30分鐘后的感染范圍示意圖(注:Slammer蠕蟲(chóng)于2003年1月25日首次出現(xiàn),它是一種SQL蠕蟲(chóng),長(zhǎng)度為384字節(jié),通過(guò)UDP廣播方式快速傳播,在很短時(shí)間內(nèi)感染全球大量SQL Server服務(wù)器。)從整個(gè)示意圖中我們可以看出,Slammer蠕蟲(chóng)密度比較大的區(qū)域主要集中在美國(guó)全境、西歐全境和中國(guó)的東南沿海,這說(shuō)明惡意代碼在沒(méi)有定向性的情況下,它的傳播分布密度是與信息化程度成正比的,即信息化技術(shù)程度越高的國(guó)家和地區(qū),其惡意代碼的感染范圍越大;而信息化技術(shù)程度非常弱或者是非常地廣人稀的國(guó)家和地區(qū),如圖中非洲、俄羅斯靠東及南美的部分區(qū)域,其惡意代碼的感染范圍就較小,甚至沒(méi)有被感染。這就是在無(wú)定向性時(shí)代的蠕蟲(chóng)傳播情況。
 
 
圖1-1 Slammer發(fā)作30分鐘感染范圍示意圖
 
       圖1-2是另一個(gè)廠商發(fā)布的Stuxnet早期感染范圍示意圖,從圖中我們可以看出全球基本上是一片綠色,而Stuxnet整個(gè)的感染范圍積聚于中東地帶,并可能與某種地緣性影響相關(guān),順帶感染了沿著印度洋到太平洋、赤道的這條線乃至整個(gè)東南亞群島一線。這就說(shuō)明在APT時(shí)代整個(gè)惡意代碼的分布不再與信息化程度相關(guān),而是與它初始投放的目標(biāo)息息相關(guān)。

 

  圖1-2 Stuxnet早期感染范圍示意圖
 
       當(dāng)然在蠕蟲(chóng)時(shí)代也存在一些定向性的案例,比如我們之前提到的CodeRed就是一個(gè)具有定向性的案例。比如為什么在CodeRedI出現(xiàn)時(shí)國(guó)內(nèi)并沒(méi)有很關(guān)注,而在CodeRedII出現(xiàn)時(shí)才開(kāi)始關(guān)注呢?據(jù)推測(cè)CodeRed可能是由中國(guó)的網(wǎng)絡(luò)攻擊者所寫的病毒,當(dāng)時(shí)采取的策略是如果發(fā)現(xiàn)是中文系統(tǒng)則停止傳播,發(fā)現(xiàn)是英文系統(tǒng)則繼續(xù)傳播,因此在當(dāng)時(shí)的情況下,CodeRed基本是在境外活躍,就沒(méi)有引起國(guó)內(nèi)的重視。而據(jù)傳這個(gè)惡意代碼后來(lái)被一個(gè)荷蘭的黑客組織進(jìn)行了修改,使其在英文系統(tǒng)上以300個(gè)線程傳播,而到中文系統(tǒng)上,傳播的線程數(shù)則增加一倍,導(dǎo)致其在國(guó)內(nèi)的傳播范圍和密度更大。雖然它同樣實(shí)現(xiàn)了一定意義上的定向性,但是我們可以看到這種定向能力是非常粗粒度的,僅是簡(jiǎn)單的以語(yǔ)言集作為區(qū)限的劃分,而不是現(xiàn)在APT時(shí)代中,以一種非常具體的目標(biāo)狀態(tài)來(lái)判斷,使用多標(biāo)志組合和遠(yuǎn)程驗(yàn)證服務(wù)來(lái)綜合判定是否發(fā)作的情況。所以說(shuō)從地點(diǎn)的角度,蠕蟲(chóng)時(shí)代和APT時(shí)代具有非常明顯的非定向性與定向性的差異。
 
       1.3 對(duì)比之“人物”
 
       我們?cè)賮?lái)看一下相應(yīng)的人物要素。在病毒與傳統(tǒng)攻擊時(shí)代,類似于CIH作者(陳盈豪,中國(guó)臺(tái)灣)、Melissa作者(Smith,美國(guó))、震蕩波作者(Sven Jaschan,德國(guó))等一些病毒的作者和攻擊的始作俑者,無(wú)一例外的都有一個(gè)共同的特點(diǎn),就是他們都被司法打擊、被追責(zé)、被發(fā)現(xiàn)和被定位。雖然有大量經(jīng)典的危害甚多的惡意代碼,但一般來(lái)說(shuō)只要整個(gè)社會(huì)的應(yīng)急響應(yīng)能力和社會(huì)的司法機(jī)構(gòu)愿意承受其代價(jià),只要國(guó)際應(yīng)急協(xié)同和司法互動(dòng)機(jī)制正常運(yùn)轉(zhuǎn),基本上都可以將病毒作者和病毒的釋放者定位并繩之以法。
 
       而在APT時(shí)代,到目前為止在我們已知的具有鮮明的國(guó)家和政治集團(tuán)色彩的APT攻擊中,究竟有哪一個(gè)被懲罰了呢,誰(shuí)是元兇,我們可能定位到具體的人嗎?可能定位到具體的組織嗎?以Stuxnet事件為例,從媒體報(bào)道和公眾猜測(cè)上來(lái)看,最開(kāi)始美國(guó)媒體說(shuō),這可能是以色列干的,以色列媒體說(shuō),這可能是美國(guó)干的,后來(lái)又有所謂“深喉”出來(lái)講這件事是美以雙方共同做的(根據(jù)一些媒體推測(cè),“泄密”可能是由于奧巴馬方面出于選情考慮,在大選前樹(shù)立強(qiáng)勢(shì)風(fēng)格的需要)。但這個(gè)事情的受害者能去通緝兩個(gè)對(duì)等的或者敵對(duì)的國(guó)家嗎,這是不可能的。所以說(shuō)整個(gè)APT時(shí)代的時(shí)間、地點(diǎn)和人物觀,與傳統(tǒng)的病毒時(shí)代相比都發(fā)生了巨大的變化,引發(fā)這種巨大變化的根本背景是“大玩家”的入場(chǎng),而所謂的“大玩家”就是國(guó)家和政治利益集團(tuán)。
 
       2 、回看傳統(tǒng)反病毒
 
       前面介紹了APT時(shí)代相對(duì)于傳統(tǒng)病毒時(shí)代的要素變化,現(xiàn)在我們?cè)倩乜匆幌聜鹘y(tǒng)反病毒的體制。
 
       2.1 傳統(tǒng)反病毒的基礎(chǔ)架構(gòu)
 
       圖2-1是安天自己的ArrectNET監(jiān)控捕獲處理體制,這是比較傳統(tǒng)的體系架構(gòu),在惡意代碼整個(gè)的分析流水線中最重要的兩個(gè)要素:一個(gè)是前端的捕獲,一個(gè)是后端的分析,而在這里APT很重要的一點(diǎn)影響就是“捕獲”。在過(guò)去,捕獲有很多立體的手段,有流量捕獲、誘餌信箱、現(xiàn)場(chǎng)采集、也有國(guó)際和國(guó)內(nèi)的兄弟廠商之間的樣本交換、還有用戶主動(dòng)上報(bào)。我們認(rèn)為每一種手段都有其缺點(diǎn)和優(yōu)點(diǎn),包括最為主動(dòng)的流量采集、蜜罐手段,雖然能夠在第一時(shí)間獲得樣本,解決樣本的實(shí)時(shí)性問(wèn)題,但是其數(shù)量小、代價(jià)大,在云時(shí)代到來(lái)后,幾乎已經(jīng)沒(méi)有人否認(rèn)終端自動(dòng)上報(bào)才是最優(yōu)手段。

       我們當(dāng)時(shí)也對(duì)各種樣本上報(bào)通道做了一個(gè)性質(zhì)上的拆解:
 
       ?  從來(lái)源類型上,我們把所有的樣本獲取通道分成可控通道與不可控通道,所謂的可控通道,是指AV廠商本身對(duì)整個(gè)通道有完全的策略管理和完整的數(shù)據(jù)回收能力,即廠商可以隨時(shí)接入和隨時(shí)獲取,而其他的方式都屬于不可控通道。
       ? 從樣本質(zhì)量上,我們把樣本拆解為多個(gè)維度,包括實(shí)時(shí)性(即在第一時(shí)間獲取樣本)、全面性(即完整獲取樣本所有模塊)、完整性(即樣本文件是否完好,沒(méi)有破損)等等。
       基于這種拆解我們定義了最開(kāi)始的捕獲體系圖,但在APT時(shí)代,由于我們對(duì)跨年度的惡意代碼都無(wú)法及時(shí)感知,其實(shí)就是傳統(tǒng)反病毒體系的獲取實(shí)時(shí)性首先遭到了挑戰(zhàn)。

 

  圖2-1傳統(tǒng)反病毒的基礎(chǔ)架構(gòu)

 
       2.2 傳統(tǒng)反病毒的工作機(jī)理
 
       從整個(gè)反病毒核心工作機(jī)理的角度,實(shí)際上我們可以把反病毒體系概括為一個(gè)工作流程,將整個(gè)流程的模型抽象拆解為以格式識(shí)別為先導(dǎo),由匹配器、預(yù)處理器、鑒定器和處置器構(gòu)成的若干分支的結(jié)合。

 
 
圖2-2傳統(tǒng)反病毒機(jī)理的模型抽象

 
       我們可以將傳統(tǒng)反病毒的模型維護(hù)分成三部分,包括歸一化體系的維護(hù),精確檢測(cè)的維護(hù),以及未知檢測(cè)的維護(hù)。
 

  圖2-3傳統(tǒng)反病毒的模型維護(hù)
 
       歸一化體系的維護(hù)是指當(dāng)前的反病毒引擎基本上是以文件格式為先導(dǎo),由若干個(gè)歸一化分支來(lái)構(gòu)成。相當(dāng)于在過(guò)去病毒與惡意代碼辨識(shí)對(duì)抗階段時(shí)的“穿透”,當(dāng)時(shí)我們認(rèn)為它有兩種穿透方式:第一種叫規(guī)則穿透,即惡意代碼不被既有規(guī)則所命中;第二種叫歸一化穿透,即惡意代碼無(wú)法進(jìn)入當(dāng)前的各個(gè)檢測(cè)分支,或者使檢測(cè)分支失效。比如說(shuō)在PDF格式溢出出現(xiàn)之前,反病毒軟件可能不識(shí)別PDF格式,或者作為無(wú)毒格式跳過(guò),PDF格式溢出的出現(xiàn)就不是簡(jiǎn)單的檢測(cè)規(guī)則穿透,而是歸一化穿透,因?yàn)樾枰砑有碌母袷浇馕龇椒ê蜌w一化分支。所以傳統(tǒng)反病毒的模型維護(hù)一定先有一個(gè)歸一化維護(hù)的部分,而這部分就是一個(gè)通過(guò)新的格式特征建立新歸一化分支的過(guò)程。
 
       第二部分就是精確規(guī)則檢測(cè)部分,即其是一對(duì)一規(guī)則提取或者有一定涵蓋性規(guī)則提取的樣本,是針對(duì)惡意代碼個(gè)體或者少量聚集群體的樣本集合的規(guī)則檢測(cè)。
 
       在精確規(guī)則檢測(cè)之上還有一個(gè)層次,就是我們?cè)械奈粗獧z測(cè)。在此我要糾正公眾對(duì)反病毒軟件的兩種誤解:第一種誤解是很多人認(rèn)為反病毒就是一對(duì)一的檢測(cè),是沒(méi)有未知檢測(cè)方法的,對(duì)現(xiàn)有反病毒體系來(lái)說(shuō)未知病毒是不可檢測(cè)的,AV廠商沒(méi)有做未知檢測(cè)的工作,很多粗糙的學(xué)術(shù)論文都用這種觀點(diǎn)攻擊AVER業(yè)界,以證明自己成果的價(jià)值。而第二種誤解是有人認(rèn)為反病毒就應(yīng)該什么都能檢測(cè)出來(lái),應(yīng)該是萬(wàn)能的,檢測(cè)不出來(lái)就是無(wú)能的,或者認(rèn)為反病毒是存在某些終極檢測(cè)方法的,這也是一類誤解。
 
       實(shí)際上AVER在未知檢測(cè)上的工作包含了三部分:第一部分是基于相近基因片段的關(guān)聯(lián)性聚合形成家族特征;第二部分是基于共有的行為聚合形成行為特征。這兩部分分別形成了基因關(guān)聯(lián)型家族和行為關(guān)聯(lián)型家族的通用檢測(cè)方式。而第三部分是通過(guò)增減修改啟發(fā)式的判定點(diǎn)、對(duì)其的配置調(diào)整和模型調(diào)整,來(lái)改善啟發(fā)式檢測(cè)的能力。這些工作都是AV廠商很早以來(lái)就在做的工作,AVER的先行者們,在DOS病毒時(shí)代已經(jīng)打下了這些工作的基礎(chǔ),這些工作不應(yīng)被神化、也不應(yīng)被視而不見(jiàn)。我們只是說(shuō),這個(gè)粒度的工作應(yīng)對(duì)APT必然是不足的。
 
       2.3 傳統(tǒng)反病毒的真正軟肋
 
       雖然AVER做了大量的工作,但目前的這種未知檢測(cè)工作仍是不足以應(yīng)對(duì)APT攻擊。傳統(tǒng)反病毒引擎的根本軟肋在于它是一種易于獲得的安全資源,比如我們?cè)L問(wèn)download.com站點(diǎn),我們通過(guò)antivirus關(guān)鍵詞檢索到562個(gè)結(jié)果,都是各種主流的反病毒軟件和他們一些不同版本的下載。反病毒的軟肋就在于此,它本來(lái)就是一個(gè)服務(wù)于大眾的產(chǎn)品,因此它必然是一種很容易獲得的資源,它必然無(wú)法對(duì)抗持續(xù)的修改。而基于這個(gè)軟肋,當(dāng)前整個(gè)攻方的工作效率已經(jīng)比逐個(gè)安裝測(cè)試提升了一個(gè)高度,多引擎掃描已經(jīng)成為非常成熟的工程化方法,不僅有像VirusTotal、VirSCAN這種在線服務(wù)站點(diǎn),國(guó)外還有多個(gè)廠商推出大的黑匣子服務(wù)器,就是在這樣的一個(gè)背景下來(lái)作為APT與傳統(tǒng)反病毒引擎對(duì)抗的前導(dǎo)。同時(shí)由于APT有長(zhǎng)期的外調(diào)和踩點(diǎn)過(guò)程,它并不需要對(duì)抗所有的反病毒軟件,它只需要對(duì)抗指定場(chǎng)景中所安裝的反病毒軟件即可。
 
       總結(jié)一下:正是因?yàn)榉床《拒浖子讷@得,所以其易于被前導(dǎo)測(cè)試,導(dǎo)致其成為了反病毒的根本軟肋,也就是反病毒不可能對(duì)抗APT的根本原因。
 
  進(jìn)步與慌亂
 
       在這些年里,反病毒業(yè)界也在一直前進(jìn),基本可以概括為以下幾點(diǎn):
 
       1. 云查殺
 
       回顧云查殺的發(fā)展,它并不是AVER非常主動(dòng)地把云的方法應(yīng)用于反病毒體制,而由于其最先遇到了規(guī)則(包括黑名單和白名單)膨脹考驗(yàn),這種規(guī)則膨脹是客戶端資源難以承載的,同時(shí)在惡意代碼本身的快速改造變形能力已經(jīng)非常強(qiáng),使原有通過(guò)高頻度的發(fā)放病毒庫(kù),然后本地再初始化的模式已經(jīng)變得不夠及時(shí)的情況下,產(chǎn)生了基于反病毒響應(yīng)流程的時(shí)效性和客戶體驗(yàn)的改進(jìn)需求。我們從最終結(jié)果來(lái)看,云查殺的前導(dǎo)是由于把海量的數(shù)據(jù)置于云端,使其在網(wǎng)絡(luò)帶寬獲得保證的情況下節(jié)省了終端寶貴的內(nèi)存和計(jì)算資源,同時(shí)由于云端的規(guī)則是數(shù)據(jù)庫(kù)級(jí)別的,解決了實(shí)時(shí)響應(yīng)和誤報(bào)的快速修補(bǔ)問(wèn)題。而后才逐漸把云查殺的種種實(shí)踐基礎(chǔ)逐漸發(fā)展成為信譽(yù)云或鑒定云。
 
       2. 程序信譽(yù)
 
       這個(gè)概念與傳統(tǒng)的廠商數(shù)字簽名機(jī)制相關(guān),又融合進(jìn)了反病毒的行為受信等級(jí)制,信任有數(shù)字簽名的程序,這是安全產(chǎn)業(yè)職責(zé)分工的結(jié)果,同時(shí)安全廠商也有其本身建設(shè)的一套體系。比如一些“寄生型”AV廠商基本是靠“后臺(tái)對(duì)照掃描+前臺(tái)全HASH”檢測(cè)實(shí)現(xiàn)的,這種程序的信譽(yù)觀就是一段時(shí)間內(nèi)(比如三個(gè)月)沒(méi)有任何引擎報(bào)警的文件進(jìn)準(zhǔn)白名單,準(zhǔn)白名單更長(zhǎng)時(shí)間(比如一年)再掃一遍,發(fā)現(xiàn)是黑的再追加回黑名單中。但如果有用戶在論壇舉報(bào)其誤報(bào)、漏報(bào),則進(jìn)入人工分析快速應(yīng)對(duì),這是基于互聯(lián)網(wǎng)的交互響應(yīng),以用戶的反饋?lái)憫?yīng)來(lái)進(jìn)行解決的流程,但也是程序信譽(yù)的一種建立方法。
 
       3. URL
 
       過(guò)去我們是以單一文件為工作對(duì)象,加入U(xiǎn)RL后就引入兩個(gè)概念:第一個(gè)就是源,即這個(gè)程序是從哪里來(lái)的,它的源是不是可信的;第二個(gè)是復(fù)合驗(yàn)證,即把源的安全性驗(yàn)證和文件的安全性驗(yàn)證做了一個(gè)復(fù)合,形成一個(gè)閉環(huán),通過(guò)文件判定URL的安全性,通過(guò)URL的安全級(jí)別推廣到目錄的安全級(jí)別,到子站的安全級(jí)別,再到主域名的安全級(jí)別。
 
       4. 主動(dòng)防御
 
       其采用了一些規(guī)則外手段,比如對(duì)內(nèi)存噴射的檢測(cè)和保護(hù)、比如對(duì)所有來(lái)源為互聯(lián)網(wǎng)的PE執(zhí)行都予以強(qiáng)提示或者攔截等等。
 
       上面這些手段是近5~7年來(lái)反病毒技術(shù)并沒(méi)有停滯的象征,從傳統(tǒng)反病毒的角度來(lái)講它們是在進(jìn)步的,但是回頭來(lái)看它相對(duì)于APT是非?;艁y的。
 
       3、 APT給AVER的困擾點(diǎn)
 
       基于之前講的這些,我們?cè)賮?lái)看看APT給反病毒工作者們的幾個(gè)困擾點(diǎn)。
 
       3.1 APT顛覆之模式
 
       APT是一種模式顛覆,它顛覆不僅是反病毒的模式,而是整個(gè)信息安全的模式。比如說(shuō)Stuxnet的程序數(shù)字簽名是使用Realtek的,Duqu則使用的是C-Media的,都算是主流廠商。為什么過(guò)去的反病毒軟件要信任具有數(shù)字簽名的程序呢?這說(shuō)明整個(gè)信息安全體系是存在分工的,對(duì)于黑名單的檢測(cè)主要由反病毒廠商負(fù)責(zé),對(duì)于白名單的信用主要由CA認(rèn)證機(jī)構(gòu)證書廠商負(fù)責(zé),而開(kāi)發(fā)者要對(duì)自己的證書簽發(fā)環(huán)境的安全負(fù)責(zé)。
 
       在過(guò)去一系列的APT和相關(guān)的攻擊中,整個(gè)的信息安全的程序信譽(yù)體系鏈條開(kāi)始崩塌:“RSA被入侵,用于生成電子令牌的隨機(jī)數(shù)種子被竊取,導(dǎo)致需要召回4000萬(wàn)個(gè)電子令牌,而且此事件間接導(dǎo)致了美國(guó)幾個(gè)相關(guān)軍工和重要工業(yè)廠商被入侵;荷蘭CA被入侵,最終倒閉。”電子認(rèn)證機(jī)構(gòu)自己尚且如此,更不要說(shuō)證書用戶簽名環(huán)境的安全了,可以看出這是一個(gè)上游的崩潰。我們的困擾在于它不只顛覆了我們的價(jià)值規(guī)律和鏈條,而是顛覆了整個(gè)原有的信息安全的分工體系。
 
       3.2 APT顛覆之捕獲
 
       之前我們講到了傳統(tǒng)反病毒的捕獲方式,包含了多種工作,但是在APT時(shí)代這些捕獲方式都幾近失效。回顧之前的Stuxnet事件,最先在伊朗傳播,伊朗沒(méi)有一些反病毒廠商的用戶,而惡意代碼又是高度定向的,所以當(dāng)它的投放位置在這些廠商可捕獲地域之外,這些廠商將無(wú)法捕獲。再比如說(shuō)Flame是卡巴斯基最先關(guān)注和報(bào)導(dǎo)的,但它不是卡巴斯基主動(dòng)發(fā)現(xiàn)的,而是由一個(gè)沙特的用戶主動(dòng)聯(lián)系的卡巴斯基,這就又回到了原始的數(shù)據(jù)上報(bào)時(shí)代。從過(guò)去來(lái)看,廠商之間本來(lái)可能呈現(xiàn)某種對(duì)稱性:第一,傳統(tǒng)惡意代碼傳播并沒(méi)有絕對(duì)的定向性,而是依靠一定的范圍的覆蓋,比如說(shuō),無(wú)論大廠商擁有多達(dá)幾個(gè)億的裝機(jī)量,還是小廠商幾十萬(wàn)的裝機(jī)量,都可能將其捕獲;第二,由于廠商之間的交換關(guān)系,彌補(bǔ)了廠商覆蓋能力的不足。但在APT時(shí)代,前者被高度定向性干擾了,后者會(huì)不會(huì)受到國(guó)家背景因素的制約,我們還不得而知。
 
       3.3 APT顛覆之隱私
 
       但即使廠商的產(chǎn)品覆蓋了遭遇APT攻擊的用戶,廠商就一定能感知到攻擊么?因?yàn)檫@不是一個(gè)簡(jiǎn)單的問(wèn)題,首先是感知器是否存在;其次是有了感知器廠商有沒(méi)有權(quán)利獲取。APT很多是以復(fù)合文檔格式溢出為先導(dǎo),無(wú)論是RSA SecurID被竊取,還是Google被入侵等事件,很多都是以復(fù)合文檔格式解析0-Day漏洞的,是在反病毒本身的已知檢測(cè)環(huán)境中檢測(cè)不到的,即使反病毒產(chǎn)品或者感知器能部署在獲取樣本的位置,但因?yàn)槲臋n類型的文件肯定是比較敏感的,因此很難獲得用戶許可,因?yàn)檫@將有可能成為一種泄密通道。
 
       3.4 APT顛覆之代價(jià)
 
       從APT時(shí)代開(kāi)始,反病毒廠商的角色從初始的單點(diǎn)防御或快速查殺轉(zhuǎn)化為要進(jìn)行縱深分析。一般來(lái)看,APT在被分析時(shí)往往是已宣告得手之時(shí),這時(shí)需要評(píng)估的是其實(shí)際造成的損失和其整個(gè)的工作記錄。卡巴斯基曾說(shuō)“Stuxnet樣本共500K,我們用了幾個(gè)月來(lái)分析,那我們是否要用更長(zhǎng)的事件去分析20M的Flame文件呢?”
 
       我們自己也有一個(gè)例子,Stuxnet據(jù)說(shuō)可以通過(guò)U盤傳播,我們也從代碼里讀到遍歷文件、拷貝文件的部分,但為什么到環(huán)境中執(zhí)行就無(wú)法傳播,最后我們經(jīng)過(guò)分析,證明了它是基于一個(gè)配置,其中與7個(gè)標(biāo)志位有關(guān),而在0xC8處的標(biāo)志位默認(rèn)是關(guān)閉的,也就是說(shuō)它默認(rèn)是不進(jìn)行U盤傳播的,只有把所有標(biāo)志位全部適配的時(shí)候才能夠進(jìn)行傳播,當(dāng)時(shí)這個(gè)單點(diǎn)分析我們大概做了一周時(shí)間,那么整個(gè)大的模塊體系要分析多久呢?這個(gè)代價(jià)我們是否能承受的起?這就是它的時(shí)間代價(jià)。
 
       我再回顧總結(jié)了一下我們?cè)谶@3個(gè)蠕蟲(chóng)時(shí)代所做的工作,其中包括基于綜合分析,編寫各種文獻(xiàn)16篇,其中10篇已在網(wǎng)絡(luò)/媒體上公開(kāi),另外還翻譯各種文獻(xiàn)7篇,我們累計(jì)人工分析樣本文件近百個(gè),提取網(wǎng)絡(luò)檢測(cè)規(guī)則多條;編寫專殺工具一個(gè);也制作了工控系統(tǒng)安全威脅實(shí)景模擬系統(tǒng)一套。
 
       我們從之前Stuxnet 篇幅為14頁(yè)的分析報(bào)告,到現(xiàn)在Flame百頁(yè)級(jí)的分析報(bào)告,我們的分析投入已經(jīng)不斷增加;但當(dāng)我們與國(guó)外廠商對(duì)比時(shí),依然發(fā)現(xiàn)差距巨大。雖然大家在樣本的獲取點(diǎn)上基本差不多,但我們?cè)诤罄m(xù)的每一個(gè)分析階段包括論述核心過(guò)程、最后揭示核心原理都比別人落后1個(gè)月到2個(gè)月的時(shí)間,這是一種硬能力的不匹配,一種資源組織能力的不匹配,一種信息的不對(duì)稱。所以我們必須承認(rèn)國(guó)內(nèi)廠商與國(guó)外廠商存在這種真實(shí)的差距。
 
       4 、應(yīng)對(duì)與嘗試
 
       基于以上的背景來(lái)看,我們做了一些相應(yīng)的應(yīng)對(duì)和嘗試。
 
       4.1 捕獲/分析能力前置化
 
       關(guān)于APT我想我們需要重復(fù)強(qiáng)調(diào)一些觀點(diǎn)。第一、不管是誰(shuí),在本身是隔離內(nèi)網(wǎng)的情況下,任何廠商都無(wú)法完整的覆蓋相應(yīng)的需要保護(hù)的目標(biāo)體系;第二、即使我們部署進(jìn)去也不可能把大量的文件回傳進(jìn)行分析。所以在APT時(shí)代,我們從思想上突破就是捕獲/分析能力前置化,即把廠商能力前置到用戶端,通過(guò)前端搭建私有云和配套分析設(shè)備的思想,把廠商能力轉(zhuǎn)化為用戶能力,把這種用戶能力變成銷售給用戶的產(chǎn)品。
 
       4.2 判定展開(kāi)
 
       在這里整個(gè)引擎的設(shè)計(jì)細(xì)節(jié)將存在哪些變化呢?首先從兩個(gè)鑒定的角度來(lái)看,傳統(tǒng)的反病毒引擎的報(bào)警原則是針對(duì)一個(gè)檢測(cè)對(duì)象,在諸個(gè)判斷模塊給出的多個(gè)結(jié)果中挑選出風(fēng)險(xiǎn)級(jí)最高的結(jié)果,與報(bào)警閾值比較,如果高于閾值就報(bào)警。但這個(gè)機(jī)制本身是很容易受到攻方的前期測(cè)試來(lái)對(duì)抗的。因此我們認(rèn)為未來(lái)應(yīng)對(duì)APT的反病毒引擎的產(chǎn)品形態(tài)的根本變化是誰(shuí)能揭示更多的信息細(xì)節(jié),誰(shuí)就優(yōu)勝。因此我們新的靜態(tài)鑒定器實(shí)際上是基于一個(gè)從白名單方法到黑名單方法的信用鑒定過(guò)程,然后把幾十個(gè)判定點(diǎn)的命中結(jié)果完全體現(xiàn)并揭示給用戶。我們就是認(rèn)為在APT時(shí)代反病毒很難靠自動(dòng)化的機(jī)制保證重點(diǎn)用戶的安全。
 
       4.3 分析方法的動(dòng)靜態(tài)結(jié)合
 
       在APT時(shí)代之前,動(dòng)態(tài)檢測(cè)已經(jīng)不斷被強(qiáng)化,但到APT時(shí)代之后,靜態(tài)的作用會(huì)被重新提起來(lái),因?yàn)橹挥性陟o態(tài)的條件下是無(wú)條件的,而APT的挑戰(zhàn),讓重點(diǎn)用戶能愿意接受過(guò)去不能承擔(dān)的靜態(tài)分析時(shí)間代價(jià)。在整個(gè)靜態(tài)的環(huán)境下,我們強(qiáng)化了這樣的響應(yīng)過(guò)程,在APT的體制下,靜態(tài)的手段是可以強(qiáng)化的。動(dòng)態(tài)分析很重要的一點(diǎn)是更準(zhǔn)確的解決了格式化溢出的問(wèn)題。但國(guó)內(nèi)用戶有國(guó)內(nèi)用戶的特點(diǎn),比如WPS、比如Foxit閱讀器,這些也可能是溢出的對(duì)象,這個(gè)必須在設(shè)計(jì)中考慮進(jìn)去,整個(gè)的動(dòng)態(tài)分析環(huán)境要基于這樣的場(chǎng)景去搭建,然后發(fā)現(xiàn)相應(yīng)的格式溢出。從過(guò)去來(lái)看這些深度的動(dòng)靜態(tài)分析絕不在AV廠商交付給用戶的范圍內(nèi),是一個(gè)廠商后臺(tái)環(huán)節(jié)。我們要把這兩個(gè)環(huán)節(jié)封裝成一個(gè)盒子,把我們的引擎變成一個(gè)具有分析能力的系統(tǒng),銷售給用戶。
 
       4.4 病毒檔案的建立與教訓(xùn)
 
       我們希望能夠建立一個(gè)惡意代碼檔案(http://www.virusview.net),以給安天引擎的用戶提供更多的支持,目前我們已經(jīng)上傳了大概110萬(wàn)篇。在此處我要講一個(gè)教訓(xùn),那就是在動(dòng)靜態(tài)分析中產(chǎn)生的大量信息實(shí)際是干擾項(xiàng),是由分析環(huán)境、加載機(jī)理等產(chǎn)生的,這些信息不能被有效的過(guò)濾,就很難對(duì)真正的個(gè)性信息予以關(guān)注。
 
       5 、APT檢測(cè)我們還有很多路要走
 
       5.1 與場(chǎng)景的結(jié)合
 
       從數(shù)據(jù)結(jié)果分析上來(lái)看,我們認(rèn)為反病毒檢測(cè)是分成多個(gè)層次的。比如一個(gè)PE文件在網(wǎng)上傳輸,它在郵件附件中和在HTTP上或在FTP上風(fēng)險(xiǎn)級(jí)是不同的,一般來(lái)看它有可能作為郵件附件的風(fēng)險(xiǎn)是最高的,或者郵件附件含在一個(gè)包裹里面的風(fēng)險(xiǎn)是最高的。傳統(tǒng)的文件風(fēng)險(xiǎn)或者未知文件風(fēng)險(xiǎn)只與文件內(nèi)容相關(guān),有的考慮到了與主機(jī)的某些場(chǎng)景相關(guān),但如何有效而深入的與網(wǎng)絡(luò)的場(chǎng)景關(guān)聯(lián)起來(lái),這是后續(xù)要注意的。
 
       5.2 依托海量數(shù)據(jù)分析自動(dòng)分類
 
       目前來(lái)看我們還是更多地應(yīng)用一些統(tǒng)計(jì)和聚合的基本方法,依托半人工的方式,來(lái)提升相應(yīng)的處理。
 
       ?  基因特征向量
       ?  離群點(diǎn)的分析和處理
       ?  噪聲處理

 

  圖5-1 依托海量數(shù)據(jù)分析自動(dòng)分類

 
       5.3 數(shù)據(jù)結(jié)果分析呈現(xiàn)
 
       實(shí)際上最后我們是通過(guò)整個(gè)鑒定鏈條,提供我們?cè)谡麄€(gè)鑒定鏈條中的每一個(gè)命中標(biāo)志來(lái)為用戶揭示完全的安全場(chǎng)景,然后提供一種綜合的更細(xì)粒度的結(jié)果呈現(xiàn)。

 

  圖5-2 APT時(shí)代需要更精準(zhǔn)分析結(jié)果

 
       5.4 補(bǔ)充觀點(diǎn)

       這里我還要補(bǔ)充提出一些觀點(diǎn):
 
       第一、 APT顛覆了全球主要國(guó)家陣營(yíng)間艱難形成的應(yīng)急協(xié)作體制。
 
       在從過(guò)去互聯(lián)網(wǎng)時(shí)代開(kāi)始的20年時(shí)間里,從最開(kāi)始各個(gè)國(guó)家獨(dú)立的進(jìn)行信息高速高路的賽跑,經(jīng)過(guò)大融合、小碰撞、小摩擦,使全球逐漸的形成基本的應(yīng)急響應(yīng)鏈條。一般來(lái)看,很多大國(guó)的基礎(chǔ)國(guó)際戰(zhàn)略邏輯是基于假設(shè)敵構(gòu)造,“偉大的國(guó)家必有巨大的假設(shè)敵”,這是一些國(guó)家發(fā)展包括國(guó)民心理的重要支撐點(diǎn)和動(dòng)力源。目前全球大國(guó)間信任是基于統(tǒng)一反恐背景形成的,但本拉登的被擊斃作為一個(gè)政治標(biāo)志,將帶來(lái)新的格局,會(huì)不會(huì)讓東西方從原來(lái)的大合作中小對(duì)抗,變成大對(duì)抗中小合作的背景,所以說(shuō)原有的應(yīng)急體系就被顛覆掉了。
 
       第二、 APT是AV廠商一個(gè)新的28定律分水嶺。
 
       28分水嶺就是在反病毒業(yè)界中符合其他產(chǎn)業(yè)中的一個(gè)通用規(guī)律:20%的工作解決80%的問(wèn)題。反病毒也是這樣,只要做20%的工作能查80%的病毒。在所有的廠商在快速的發(fā)展的情況下,只要做一個(gè)自動(dòng)化提取點(diǎn)、一個(gè)樣本循環(huán)、一個(gè)對(duì)照掃描加上一個(gè)哈希提取,然后云查殺的模式,這就是20%的工作,以此解決大范圍的事情,但一旦一個(gè)硬指標(biāo)出現(xiàn)的時(shí)候,就會(huì)淘汰一些“硬能力不足”的廠商。因?yàn)楫?dāng)一個(gè)巨大的、必須付出的代價(jià)需要承擔(dān),有能力付出這個(gè)代價(jià)的就能生存下去,克服不了的就會(huì)被淘汰。過(guò)去也出現(xiàn)過(guò)28分水嶺,比如宏病毒,它是中國(guó)民間和商業(yè)反病毒團(tuán)隊(duì)的分水嶺,宏病毒易寫、易改、難殺,從國(guó)內(nèi)當(dāng)時(shí)的情況來(lái)看,國(guó)內(nèi)有很多的小的反病毒團(tuán)隊(duì),而到了宏病毒時(shí)代,民間團(tuán)隊(duì)卻全部被淘汰了,這是因?yàn)槲④洸辉敢庀蛑袊?guó)廠商公開(kāi)OLE結(jié)構(gòu),必須逆向解決,誰(shuí)抗得住逆向分析的幾個(gè)月,誰(shuí)就能成功。當(dāng)然在這個(gè)分水嶺上我們就能看到一些非技術(shù)能力的差異。McAfee等廠商在很多時(shí)間之內(nèi)就可以通過(guò)和微軟聯(lián)系獲得OLE的文檔,國(guó)內(nèi)廠商卻被微軟拒絕了。因此到了APT時(shí)代之后,各廠商的技術(shù)能力能不能跟得上,挺得住,耗得起,這就成為了一個(gè)新的分水嶺。
 
       第三、 APT在原有的采集加自動(dòng)化能力的比拼之外,增加了深度分析能力和耐心的比拼。
 
       原來(lái)的AV鏈條單純就是誰(shuí)終端數(shù)多,誰(shuí)更主動(dòng);誰(shuí)后端分析能力更強(qiáng)、自動(dòng)化分析規(guī)模更大,誰(shuí)更主動(dòng),而現(xiàn)在又加上了深度分析能力和耐心的比拼。比如卡巴斯基和賽門鐵克曾出現(xiàn)過(guò)沉默的45天。賽門鐵克沉默的45天內(nèi)徹底分析清楚了Stuxnet整個(gè)作用于WinCC和PLC的全過(guò)程,而卡巴斯基則在45天內(nèi)分析清楚了Stuxnet和Duqu的基因關(guān)聯(lián)模型。國(guó)際廠商在APT樣本分析中做了巨大的投入,分析團(tuán)隊(duì)里不只投入分析人員,還投入了大量的系統(tǒng)架構(gòu)人員和核心開(kāi)發(fā)人員,而且在一段時(shí)間內(nèi)為了攻克關(guān)鍵過(guò)程,可能偃旗息鼓一樣沒(méi)有任何消息放出,對(duì)于炒短線、很功利的國(guó)內(nèi)安全行業(yè)氛圍來(lái)看是不是熬得起?所以我說(shuō)這不僅是技術(shù)能力的比拼,還增加了耐心的比拼。
 
       第四、 APT的大眾與小眾,必然有產(chǎn)品模式的變化。
 
       APT絕不是一個(gè)大眾產(chǎn)品,甚至不是一個(gè)現(xiàn)金牛型的產(chǎn)品,普通網(wǎng)民并不會(huì)覺(jué)得對(duì)生活有什么影響,之前的反病毒產(chǎn)品會(huì)依然如舊,而APT是一個(gè)小眾場(chǎng)景,對(duì)于小眾場(chǎng)景的反APT產(chǎn)品應(yīng)該怎么做,這將必然導(dǎo)致產(chǎn)品模式的變化。
 
       第五、 APT對(duì)抗的本質(zhì)依然是資源和代價(jià)對(duì)抗,我們已經(jīng)輸在起跑線上了……
 
       為什么中國(guó)的廠商或產(chǎn)業(yè)已經(jīng)輸在起跑線上了?首先是先天不足,就是信息不對(duì)稱,操作系統(tǒng)以別人的為主導(dǎo)、大的搜索引擎和數(shù)據(jù)聚合以別人的為主導(dǎo)、關(guān)鍵的硬件安全環(huán)節(jié)也以別人為主導(dǎo)、整個(gè)的基礎(chǔ)的工業(yè)體系和信息化能力仍以別人為主導(dǎo);其次是后天不足,中國(guó)實(shí)際上是獨(dú)立安全廠商能力非常弱的國(guó)家,只有獨(dú)立廠商才是基礎(chǔ)安全研究的動(dòng)力,國(guó)內(nèi)在這方面相當(dāng)不足,是缺少這種動(dòng)力的,特別是在主戰(zhàn)場(chǎng)上,目前是以互聯(lián)網(wǎng)廠商為主導(dǎo)的,互聯(lián)網(wǎng)模式下廠商的思維方式往往不看重傳統(tǒng)安全團(tuán)隊(duì)的那種系統(tǒng)性、嚴(yán)謹(jǐn)性和耐心,而更看重敏銳、快捷、前臺(tái)體驗(yàn),這不是優(yōu)劣對(duì)比,這是團(tuán)隊(duì)價(jià)值導(dǎo)向所決定的。人力、物力、財(cái)力、分析能力,以及所儲(chǔ)備的大量的海量的樣本與基因是反APT綜合的代價(jià)對(duì)抗,但是我們已經(jīng)輸在了起跑線上。
 
       5.5 尾聲:那些恐懼的日子
 
       在搞反病毒的20年來(lái),我有幾天是非常恐懼的:
 
       ?  2003年3月10日
       2003年3月10日,一個(gè)叫做rongrong的蠕蟲(chóng)…
 
       第一次是在2003年3月10日,而在3月8日之前我們都在響應(yīng)口令蠕蟲(chóng),在非常疲憊憔悴的時(shí)候,突然就在機(jī)器上發(fā)現(xiàn)了另外一種蠕蟲(chóng),我們起名為rongrong,它也是通過(guò)口令蠕蟲(chóng)感染機(jī)制傳播的,它實(shí)際上存在的時(shí)間比當(dāng)時(shí)的口令蠕蟲(chóng)更久,但是我們沒(méi)有發(fā)現(xiàn)。我們剛開(kāi)始發(fā)現(xiàn)有口令蠕蟲(chóng)這種機(jī)制傳播時(shí)很興奮,整個(gè)團(tuán)隊(duì)的好手都投入其中,突然間出現(xiàn)這個(gè)蠕蟲(chóng),因此陷入到了很大的恐懼中,因?yàn)楫?dāng)時(shí)團(tuán)隊(duì)規(guī)模很小,深度分析、編寫專殺、編寫掃描驗(yàn)證模塊等等,已經(jīng)耗盡兵力和精力了,當(dāng)時(shí)感覺(jué)到的是無(wú)力和無(wú)能。但是這個(gè)事件觸發(fā)的是我們完成了國(guó)內(nèi)反病毒歷史上比較早的一份完整的針對(duì)行為關(guān)聯(lián)家族的分析報(bào)告,這份報(bào)告對(duì)從樣本庫(kù)中檢索到的,所有的基于psexec遠(yuǎn)程投放機(jī)理的惡意代碼蠕蟲(chóng)進(jìn)行了還原分析,它是在安天歷史上第一篇10頁(yè)以上的分析報(bào)告,也在國(guó)內(nèi)開(kāi)創(chuàng)了樣本家族間基于分析關(guān)聯(lián)方法的先河。
 
       ?  2005年4月
       2005年4月,一個(gè)手工清除失敗的木馬…。
 
       第二次是2005年4月,當(dāng)時(shí)也是一個(gè)相對(duì)有重要價(jià)值的節(jié)點(diǎn),在用戶現(xiàn)場(chǎng)排查的時(shí)候,發(fā)現(xiàn)了一個(gè)rootkit,當(dāng)時(shí)借助了大量我們自己編寫的和第三方工具進(jìn)行手工處理,大概用了一個(gè)小時(shí),最終宣告失敗。我突然想起當(dāng)年在DOS下分析每一個(gè)惡意代碼都是手工分析和手工提取,自己感覺(jué)好像又回到了手工對(duì)抗的時(shí)代。但在這個(gè)rootkit和當(dāng)時(shí)的木馬數(shù)據(jù)匯總驅(qū)動(dòng)下,我們做了一個(gè)內(nèi)部的技術(shù)報(bào)告,這是一個(gè)有預(yù)測(cè)性的報(bào)告,是一個(gè)有數(shù)據(jù)支撐的報(bào)告。基本結(jié)論是,中國(guó)信息安全可能會(huì)崩盤于木馬。
 
       ?  2012年10月19日
       第三次就是2012年10月19日,在CNCC做這個(gè)報(bào)告的前夜,盡管已經(jīng)做了很多工作,但對(duì)APT的無(wú)力感和恐懼感卻那樣強(qiáng)烈。
 
       6 結(jié)束語(yǔ)
 
       每次我感到歷史螺旋仿佛回到起點(diǎn)之時(shí),我就會(huì)有一種恐懼感,這些年做了大量的自動(dòng)化分析流水線的工作,但每次應(yīng)對(duì)新的威脅依然感到力不從心。但我并不悲觀,曾經(jīng)我們覺(jué)得蠕蟲(chóng)很難對(duì)抗,短時(shí)間內(nèi)可以癱瘓全球互聯(lián)網(wǎng),但是事實(shí)證明,它不是不可遏制的,木馬的數(shù)量飛速膨脹也曾讓我們憂心忡忡,但從目前來(lái)看,其幾個(gè)級(jí)別的膨脹速度已經(jīng)開(kāi)始下降,實(shí)際上我們每次都有效應(yīng)對(duì)了,只不過(guò)我們可能還不夠積極主動(dòng),而且沒(méi)有把它轉(zhuǎn)化成有效的產(chǎn)品形式。我覺(jué)得,我們對(duì)于對(duì)手的恐懼和無(wú)力感是我們對(duì)于技術(shù)的敬畏與執(zhí)著的源泉。
 
       我突然想起了恩格斯的名言“人類歷史了上的每一次巨大災(zāi)難,都是以巨大進(jìn)步為補(bǔ)償?shù)摹?rdquo;我不相信APT是終極的威脅,APT可能不會(huì)被消滅,但我相信肯定是會(huì)被遏制的,同時(shí)新的,更高級(jí)別的威脅也還會(huì)出現(xiàn),我們也同樣會(huì)找到應(yīng)對(duì)的方式,這種對(duì)抗史將貫穿于人類的信息技術(shù)史中,而我們最終只是這個(gè)歷史的片段。