专家谈：当前网络风险分析与应对策略(1)

2007年4月19日下午，由51CTO.COM网站主办的“51CTO技术沙龙?企业病毒管理讲座”在北京理工国际教育交流大厦召开。本次技术技术论坛吸引了近百名网络工程师、项目经理、网络管理员等技术人员的关注。 短短的3个多小时里，来自趋势科技三位专家从多方面对企业病毒管理和防范从进行了技术分析和实例讲解，并详细解答了与会技术人员提出的技术问题。
Web威胁分析
徐学龙：实际上我们来看一下在这么多年的发展过程中，网络威胁是怎么样来变化的。我们从最上面来看会看到各种网络威胁的形态，从目前我们会看到一个发展的主线，它经过了文件性的病毒、网络病毒、邮件病毒，发展到今天更多的侧重于通过Web方式。我在跟用户接触的过程中，我们问他你感觉到这些病毒是怎么样进入网络里的？很多人都讲就是用户上了某个网站，或者不小心点了某个邮件链接，病毒就出现了。从网络形态来看，通过Web方式传播成为了主流。
利用Internet执行各种恶意活动
以前的威胁形态通常是以出名为目的，现在完全是以牟利为目的，希望通过这个程序的扩散来获得金钱上的利益。从下面来看我们会看到威胁无孔不入，以前可能是只跟专业的电脑人员相关，今天我们会看到，随着手机病毒的出现，可能路边上摆一个摊卖苹果的可能都会遇到病毒的问题。所以在内容安全上成为大家共同面临的问题。
我们举个例子，这个大家熟悉不过，照片上的李俊和同案犯不同开发熊猫烧香，从去年年末到今年年初，在整个网络上引起很大的事件。他们也通过熊猫烧香病毒直接获利10多万元。所以实际他在开发过程中他自己卖，因为他可以窃取游戏的帐号和QQ的帐号，他自己在网上卖，也通过别人代卖，进行直接的获利。所以现在没有人在网上传播病毒不求回报。
我们从以前的网络蠕虫攻击来看，我们看左边的图，这个图代表在一个网络风险、网络威胁出现之后，我们用户面临的损失是怎么样的。一般来讲是风险刚出现的时候，这时候我们的威胁比较少，损失比较少，但是随着时间的推移我们的损失会到达一个顶点。安全厂商在提供相应解决方案之后，我们的风险就会越来越低，直到这个网络风险在我的网络里完全清除掉。但是今天我们看到的是不同的，下面的图我们会看到，我们今天会看到一个网络威胁进入到我的网络之后，它开始不断的自我更新自己。我们讲防毒厂商、安全厂商是需要不断更新自己的更新主件，现在病毒变得和防毒厂商一样，它执行之后会再去网上下载更新。所以熊猫烧香病毒就是一个例证。李俊和另外几个人他们不断开发新的变种，老的变种会自动把自己变成新的变种，所以它就具备了不断扩散和更新的能力。所以在网络里造成的危害是持续性的，这个时间很长。一旦风险进入之后，我们就感觉到清除起来非常困难。包括像ARP的病毒，一旦进入到网络，这时候清除起来我投入的成本非常大，所以这种损失就造成了，影响非常全面。
另外一点，目前的网络威胁的特点是定向性的。比如它是针对银行，针对QQ窃取，那么我开发这个东西就是针对QQ来做的。可能我的机器上威胁进来之后，没有QQ，我用的是MSN，那么我的机密信息就不会丢失。但是真的如果有QQ，那么你的帐号信息和所有的信息都会被窃取到。所以从损失来讲，它对特定人群，特定的单位组织进行攻击，造成的定向危害就更大。
采用多种恶意形态相结合的技术
通常来讲，这些威胁攻击可以分为内部攻击和外部攻击。在用户一旦感染到网络威胁的时候，它在内部进行扩散的时候，它比从外部进来的时候对我们造成的危害更加巨大。所以从整体上来讲，整个的威胁形态变得更加智能、更加复合，不再是单独的一种形态。
我们根据收集到的样本做了一个统计，从我们的统计来看，整个的恶意威胁类型正在向Web攻击转变，正在通过Web的这条途径在传播。所以我们可以看到底下的粉线是我们针对网络蠕虫的数量的统计，我们会看到这个数量统计发展相对平稳，所以我们这两年可能跟大家直观感受一样，我们好象没有感觉到有特别大的网络蠕虫爆发。但是从另一个方面来讲，大家直观感受是间谍软件、木马的形态越来越多，这个跟我们病毒处理中心获得的数据是一致的。
从上面的曲线来看，它的数量不仅多，而且整个数量呈高速增长的态势。所以在这样的情况下，就需要有一个新型的解决方案来对它的传播方式进行防护。这是我们后面要讲的内容。
这里我们来看一个案例。因为不同的安全厂商对恶意程序的命名不太一样。我们是有一个恶意程序命名叫DLoader，它出现的时候是通过邮件进行传播，一旦进入之后你点击，它就会把你导向到www.88KV.com的网站下载木马，然后会导到downV368V.com网站做第二次下载，之后它会找到第三个网站做下载，它会不断的更新，隐藏自己。所以这样我们在防护里面会发现，防护起来是非常困难的。因为写作者一直在为这个恶意程序在前面铺路，让它的生命期得以延长。所以我们怎么对这些恶意程序写作者他们利用这些载点进行及时的阻止，就很重要。假如这些载点的访问我不能够有效的控制，那么这个风险的威胁就不断的加强，不断的扩大。
Web还有一个最突出的代表就是僵尸网络，它就是通过一个恶意程序写作者写出来之后，他进行传播，通过利用人的好奇心去点击、下载，这个时候就把它的木马安装在你的机器里。这个时候写作者就可以通过控制这些机器做一些特定的攻击，或者做发垃圾邮件赚钱。谁想发垃圾邮件支付我钱，我就通过我控制的几十万台肉鸡为你提供服务。当然这实际上已经涉及到犯罪了。
在媒体上我们看到报道比较早的是2005年河北的一个黑客，他操作6万台机器攻击北京的一个网络公司，后来被抓到了，这是一个比较早的刑事案件。同时僵尸网络从之前我们看到的，它最大的冲击力是发垃圾邮件。它的能力特别强，这是我们在全球监控到的发垃圾邮件的一个实时的统计信息。这是4月12号产生的信息，你会看到我们国内的两大骨干网成为僵尸网络生存的一个空间。这两家一个是169，一个是CHINANET，我们发现它们总是在前五名之内。比如在上周，CHINANET排在第一位，就是在整个全球骨干网上发垃圾邮件。因为我们收购一家公司是做RBL+的，它是监控全球发垃圾邮件的。所以这个骨干网成为垃圾邮件的主力。所以对整个网络消耗非常大。
所以第一部分我们总结，逐利性是整个网络威胁发展的主线。这些恶意程序的写作者都希望通过它的恶意程序去获利。第二点，通过Web方式传播，这是目前他们最主要传播途径。所以针对这个传播途径我们来进行分析和防护，就是我们在当前，在安全层面上的技术部分我们要重点考虑的。
利用用户的好奇心，暗中进行活动
简单来讲Web威胁是利用我们访问一些Internet资源的时候，一些人利用我们的好奇心，利用用户对安全知识的贫乏，使得我们去误点一些内容，然后这些恶意程序就嵌入到我们的机器中，进行各种各样的破坏。通过整个的传播，我们利用Internet访问的机制来进入。最开始我们不知道，但是慢慢我们感觉到这个机器有了异常。
从Web威胁发展的背景来看，一方面是用户持续的增长，全球13.5的网络用户。另一方面我们更多生活上的行为通过网络来实现。比如网络采购、银行转帐，还有Web2.0博客技术发展，使得更多的人开始觉得我以前可能对上网不太感兴趣，这时候我希望自己看到别人日常工作中是怎么想的，怎么做的，我自己怎么想怎么做的，通过这些网络应用的产生，使得这种风险传播的机率就扩大了。所以目前来讲，Web就成为各种恶意程序传播的理想工具，成为扩散的场所。
Gartner有一个统计，它觉得目前在我们企业做Web的部署率大约在20%，它根据自己的数据预估到2011年，整个企业用户中Web的部署率将达到80%，是大家发展安全技术提高的一个部分。所以说，我们要掐断Web威胁，对它的每一个阶段都要进行详细的了解。这一块我就不做详细介绍了。
我们举个例子，这是Stration的恶意程序。它跟我们前面讲到的有点类似，不过它的最终结果是变成肉鸡。它最一开始进来的时候是通过邮件进来的，它会带一个链接。这个链接当然一扫描没有任何的病毒和恶意程序，当它潜入进来之后，当用户点击它的时候，它就会进行第一次的进行木马下载。这个木马下载进来之后，它执行之后，就会进行第二次的木马下载，同时把发垃圾邮件的模板给拿下来。这时候，第二个木马程序拿到之后，它已经成为发垃圾邮件的一个肉鸡，这个时候外部的操纵者就可以通过它去发送大量的垃圾邮件。所以说，它是一种植树型的扩散，通过垃圾邮件把自己传播出去，又把感染到的机器变成一个新的传播节点，所以整个僵尸网络的规模扩展的非常快。
还有一个叫LINKOPTIM，它会感染一些占用的页面，利用网站的漏洞，感染一些页面。当用户区访问这些页面的时候，它就会自动潜入用户的机器。在这个过程当中，在刚刚潜入机器之后，它最主要做得一个动作，就是它会篡改Google的搜索结果，根据相应的排名会显示某些广告厂商的广告。它会把这些厂商的信息显示出来，这样相当于把自己的广告插进来。所以通过这种方式从中获利，当然他也在不断的更新自己。通常来讲这种恶意程序在不断的开发过程中，实际上也有自己的漏洞。所以最后它会造成我们的节点系统瘫痪掉了。这是很典型的一个进行获利的行为案例。
Web成为目前恶意程序的理想途径
同时我们看一下公安部2006年的恶意程序传播途径的调查结果。大家有机会的话看一下，去年公安部做的调查，今年也正在开始做。我们跟他们也是合作伙伴，对全国的用户做调查。从去年调查结果来看，网络浏览和下载是国内用户普遍认同的方式。左边的图从2001年一直到2006年，你们可以看到整个的数值比例非常高，所以这时我们确实要认识到，目前怎么样针对Web威胁进行防护，这是我们的重点。假如我们还是被动式的防护，就是我还是要依靠厂商的代码来做防护的时候，我们会看到这个恶意程序进来之后，它可能在这个代码提供出来之前，它已经找了三个网站去下载新的变种，恶意程序写作者可能已经写好五个变种在后面等着你。你在厂商那里拿到第一个解决方案的时候，可能后面已经往前走了三四步，这个时候防护就非常变动。所以我们怎么样对Web威胁进行有效、快速的防护是我们今天每个在实施安全防护时需要考虑的问题。

标签： Google 安全 代码 漏洞 媒体 排名 企业 搜索 网络 网站 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。