幻象、虚幻与昙花
免疫。狭义的计算机病毒免疫技术:是指通过建立某些病毒的特性,阻断病毒执行。广义的计算机病毒免疫技术:一种在病毒运行或者发作的入口,使病毒无法执行或者失能的技术。借鉴自生物学和医学“免疫”的概念。有广义和狭义之分。
狭义的免疫:单点对抗性;临时性;第三方性。
补丁的时代与无奈。第一波蠕虫攻防最终成为补丁速度攻防之战;预装版问题;体系是王道。
广义的免疫。一种造成病毒失能的技术的统称;VSAFE证明了通用免疫观的可笑;DIR-II穿透防毒卡;在商用产品出现之后,查杀归一化。
引擎与归一化
反病毒引擎。依赖于对应的可维护的数据结构,对待监测对象进行病毒检测和处理的一组程序模块的统称。病毒库,反病毒引擎所依赖的可维护数据结构的文件载体。
包裹,ARJ、ZIP、HA。编码,QP、Base64。壳,PKLITE、WWWPack。
传统引擎和云引擎。云的背景;全HASH云和特征云;感染式与变形问题。
实时监控、主动防御与模型完善
主机主动防御技术是指通过拦截或者过滤程序对系统调用来判断程序的行为是否具有危险性的一种技术。它具有如下特点:运行时动态防御;具有较高的系统权限;具有一定普遍适用性可以防御新威胁;规则简单且无需频繁更新;其是从原有的反病毒产品的实时监控能力中产生的。
早起的实时监控-TSR防护的实现。通过截获DOS中断完成监视;修改INT13H的中断向量指向自身已驻留于内存中的钩子代码以便随时拦截所有对磁盘的操作。
NT监视。AD应用程序行为监视;RD注册表监视;FD文件监视。
现代主动防御技术主要是通过在应用程序进入到内核过程中进行拦截,这就相当于在应用层和内核的通道建设立了一个“关卡”,它对任何可疑的调用都会进行判断。
网络监测-另一个空间和战场
蠕虫的关键词。介质+弱点=通道。文件+通道=传播。
直路与旁路之争。趋势专利开启直路;安天VDS开始旁路路线;UTM开启直路的改造;直路、旁路路线冲突的爆发;各自的反思。
蠕虫时代。威胁集体特点,蠕虫、僵尸网络、DDoS。前提假定,扩散、重复、分布、检测点。方法关键词。方法,实时监测;评价,偏重统计;处置,(载荷)源定位与处置。
后台-冰山的主体在水面之下
木马的关键词:行为+方法=后果。
后台发展过程。手工作业阶段->C/S管理阶段与规则的自动化提取阶段->人工任务流水线->海量自动化分析流水线。
对文件特诊提取问题分类。独立文件样本:正常编译的可执行程序;加壳的可执行程序;脚本文件。感染式样本:PE和其他可执行格式感染样本;脚本感染样本。
特征自动挖掘。在符合A范式的部分进行自动挖掘。分段自动挖掘,以8个字节的某一合理公倍数为分段,但最大不超过32,如果不能切断某一指令,则向两端补偿。按照三度空间发计算权值。以n个连续值加合的高点为准,如果过于平滑,则n-1,直到n=1。
人工需要完成的工作。无法自动定性文件的判定;特征提取失败或者规则冲突的;清除脚本和模块的便携。
不可形式化的经验与历史的错误。部分AVER没有预料到计算能力的快速增长和虚拟化的成熟;AVER团队规模较小,经济能力有限;认为一些经验不可形式化。
自动流水线工序处理。将整个处理过程视为流水线;将样本的WAR全部属性视为一个样本的“属性域”;在整个流水线流转中,将有关WAR的属性域全部填充;每个样本文件有一个AVML文件伴生流转;AVML范例。
捕获与感知
什么是蜜罐。蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
蜜罐与蠕虫捕获。蜜罐与反病毒领域的结合趋势始于2002年,成熟于2004年。与传统蜜罐诱捕与迟滞攻击的作用不同,用于蠕虫捕获的蜜罐完全以获得蠕虫样本为目的。用于蠕虫捕获的蜜罐系统主要针对获取系统控制权且主动传播的扫描溢出/口令猜测型蠕虫样本,使这些蠕虫扫描到蜜罐节点的时候,其样本文件或其他载体形态被获取。
糖人的思路。实体系统/载体:网络行为记录,发送捕获结果;主机保护系统;桥接;虚拟系统:IM/P2P接收文件,P2P便利探测,聊天bot,URL探测,监控文件变化,监控注册表变化,监控内存变化,过滤已有样本,出入控制。
没落,终端就是最好的蜜罐。蜜网新的青春:威胁泛化;嵌入式设备;云。
反病毒体系自身的安全性问题
正面之敌。Rootkit,无法获取,无法检测。反制杀软。关闭杀软进程;IFEO映像劫持;停止反病毒软件的服务;窗口发关闭消息;卸载杀软进程中关键模块。
背面之敌——非执行对抗。。对引擎和库的威胁;对产品的威胁;对体系的威胁。
引擎威胁的焦点——格式解析和预处理。PE解析;包裹解析;URL解析;其他格式解析。
PE格式解析。恶意构造的PE格式;加壳的PE,很多壳修改了PE文件一般的编译格式;被其它杀软清理的PE格式,被杀毒软件清除掉的部分PE文件由于清除了部分文件体,没有修改对应的PE头,导致PE结构与正常的PE文件不同。
PE文件头格式解析漏洞。ClamAV引擎整数溢出继而堆溢出导致反病毒DOS;BitDefender AntiVirus引擎扫描特定构造的ASProtect壳格式整数溢出;Kaspersky Anti-Virus 6.0解析PE中的特殊的NumberOfRvaAndSize数据目录值崩溃。
包裹解析——包裹格式溢出。Kaspersky复制特定ARJ包裹该格式数据堆溢出可能导致恶意代码执行;Symantec的Decomposer扫描畸形格式的RAR文档栈溢出导致拒绝服务或执行任意指令;Kaspersky引擎解析已破坏的CHM文件发生堆溢出导致远程攻击者以杀毒软件进程的权限执行任意代码;CA引擎解析构造CAB文件导致栈溢出。
产品的威胁。跑飞,权力滥用,提权,远程操作,挂马。
基础设施攻击。误报构造攻击,DDoS攻击VirusTotal服务。
挑战与新思路
APT。“APT”一词最初起源于2005-2006年间在空军工作的网络安全工程师们对一些安全事件的描述,他们创造了这个词以使公众不对此类安全事件小题大做。
战略性背景导向。不基于特征的未知威胁检测:恶意代码;0day漏洞利用,shellcode、多种格式文件。背景:2013美国国防预算法案932.b:为了克服当前面临的问题和局限性,(下一代网络安全)系统不应依赖于:已知特征机制;需要经常更新的特征机制;需要以数据库形式存储下来的特征机制。
基于虚拟执行的网络侧未知检测。典型代表:FireEye;在网络设备中对流量数据中异常代码或文件作沙箱虚拟执行,并对内存做污点分析,发现已知和未知的问题。
FireEye方案。MPS引擎;支持web、邮件、文件共享等多种来源数据;专门的MPS硬件运行不同来源数据;除可执行文件外,支持20多种其他文件格式;实时学习恶意代码C&C特征并阻断。
基于白名单的终端防护。在终端、服务器中,只允许受信的白名单软件运行。典型代表:Bit9。基于策略定义软件的可信性,包括软件开发者和软件分发渠道制定;安全云,提供软件可信度评价服务;实时检测审计,监测、防范、事后审计。
Bit9方案遇到的一个问题。2013年2月,Bit9代码签名证书被盗;至少3家客户发现了由被盗证书签名的恶意代码;它们将被Bit9系统认为是可信的软件而可以执行。
基于IDS的通信发现识别。针对APT中的C&C通信;基于格式、特征、模式等,识别流量并予以阻断;代表:趋势科技Deep Discovery。IDS引擎Inspector,基于全球威胁情报信息检测C&C通道;恶意代码沙箱和分析引擎;全球各个Inspector之间共享情报。
日志数据聚合分析和事件重构。采集海量数据:终端、服务器的各类运行日志和运行数据;网络设备原始流量和数据;外部威胁情报信息。集中分析和关联挖掘,发现APT攻击并还原攻击场景和过程。典型代表:RSA NetWitness、Solera。
产品整合——威胁情报。多阶段信息融合,更有效的APT发现;实时防御和处置问题;多种方案的合作。