主动防御技术的PPT讲座

趋利性病毒攻击已成网络最大危害
趋 利 性 病 毒 相 关 报 道
趋利性病毒攻击已成网络最大危害
病 毒 趋 利 的 种 种 表 现
•
1）盗取个人隐私
•
2）盗取帐号密码
– – – QQ\MSN\游戏\ 网银\淘宝\信用卡 等等
•
3）窃取机密信息 – 商业机密 – 国家机密
趋利性病毒攻击已成网络最大危害
反病毒公司必须先收集到病毒样本
病毒样本来源：
1.采用蜜罐等诱捕技术
在互联网部署采用蜜罐等诱捕技术的计算机，能够自动收集到部分病 毒。但这种方式需要在互联网部署大量的计算机，需要很高的成本，所以 收集病毒的数量非常可怜。
2.依赖用户主动上报
绝大多数病毒是反病毒公司从用户提交的可疑程序中分析判断中获取 的。有一定技术的用户发现自己的计算机存在可疑程序，然后将可疑程序 提交给杀毒厂家，再有反病毒工程师分析，现在杀毒厂商所宣称的病毒监 测网，实质上就是用户。
趋利性病毒新特点
趋 利 性 病 毒 新 特 点
4）小批量、多变种、自动更新
小批量
小批量感染用户，反病毒公司可能无法获取病毒样本
多变种
同一个病毒采用多种免杀技术生成多个变种，损失降到最小
自动更新
频繁自动更新自身，使得病毒特征码不断发生变化，即 使反病毒公司获取到原来病毒样本，在杀毒软件升级前， 病毒已经自动更新，杀毒软件升级后依然无法发现病毒。
躲避杀毒软件的查杀。
趋利性病毒新特点
趋 利 性 病 毒 免 杀 技 术
病毒免杀技术之一：自动频繁更新
病毒产业流行语：杀毒软件玩更新，我们 病毒一样玩更新
– – – – 架设病毒更新服务器 采用千兆光纤 更新频率大于杀毒软件 结合小批量、多变种的方式，达到病毒感染最大化
趋利性病毒新特点
趋 利 性 病 毒 主 要 传 播 途 径
– 通过hook系统的磁盘设备栈来达到穿透还原卡的目的，使得校园网内大量安装了还 原卡防毒的机器被感染。 – 感染系统关键文件如：userinit.exe、services.exe，嵌入恶意代码自动从网络上下 载木马、病毒，由于直接修改系统文件，中毒的机器杀毒软件将无法清除，束手无 策。 – 机器狗下载器感染系统后将从黑客站点下载大量恶意病毒，其中包括利用MS08076的扫荡波等大量恶意病毒、木马。 – 扫荡波通过系统漏洞进行全网攻击，被攻击的机器自动下载机器狗并运行，重复感 染。
• 4）盗取网络财产
– – 网游装备 ＱＱ币\经验值
病 毒 趋 利 的 种 种 表 现
•
5）网络攻击敲诈
•
6）受雇网络攻击
•
7）恶意广告点击获利
臭名昭著的流氓软件 利用病毒自动弹出广告页面
趋利性病毒攻击已成网络最大危害
8）病毒产业链：产供销一条龙
病 毒 趋 利 的 种 种 表 现
(黑客教师) 黑客培训
3. 趋利性病毒新特点－对抗杀毒软件
4. 5.
病毒趋利目的＋杀毒软件的脆弱性
使得病毒具有新的特点－对抗杀毒软件
趋利性病毒新特点
趋 利 性 病 毒 新 特 点
1）隐蔽性 为了达到获取利益的目的，病毒就要做得隐蔽性强，越隐蔽的病毒越难被用 户发现，从而越不容易被反病毒公司收集。 • 兼容性 • 程序不可见性 • 任务完成后自杀 2）抗杀性： • 对老病毒进行改造，采用加花指令、加壳、修改特征值等免杀技术，躲避 杀毒软件查杀。 • 采用内核技术加强对病毒的保护，使杀毒软件即使发现也难以清除 • 直接对杀毒软件进行攻击，导致杀毒软件不能正常工作。 3）针对性： 针对特定的目标，采用特定的病毒攻击。如果被攻击的用户没有发现，反病毒 公司就无法收集到这个病毒，这个病毒将在用户的计算机中长期与杀毒软件“和平 共处”
1. 2. 3. 4. 运行可疑程序 监控：可疑程序做了什么 分析：可疑程序所做的是否表现危害行为 判定：新病毒
结论：反病毒工程师是依据病毒行为识别病毒
反病毒新技术－主动防御
疑问：
是否可以通过程序模拟反病毒工程师识别病毒的过程？
反病毒新技术－主动防御
主动防御的基础条件：
• • • • •
依据程序行为判定计算机病毒是识别新病毒的唯一有效方法 ； 所有计算机病毒均是人为编写的，其行为不会超出人的思维范畴； 人工识别绝大多数计算机病毒并不困难 ； 真正有“创意”的病毒很少（不足总数的1%）； 可以将人工识别计算机病毒的思维逻辑和经验转化成病毒判定规则 。
– 中国已经成为继美国之后因特网受攻击次数第二多的地方。 – 调查数据显示，发动攻击的IP地址中，中国占10%。
• 校园网现状
– 2.ARP攻击成为校园网影响校园网络正常运行
• 造成网络瘫痪 • 采用劫持传播病毒
– 典型代表“黑晶ARP病毒“
校园网安全现状
3、专门针对校园网机房特点的病毒 典型代表机器狗：
1.
趋利性病毒攻击已成网络最大危害 趋利性病毒新特点－对抗杀毒软件 反病毒新技术－主动防御 微点主动防御软件介绍
2. 杀毒软件的脆弱性
3. 4. 5.
杀毒软件的脆弱性
现 杀毒软件的核心技术： 有 特征码扫描技术是杀毒软件的核心技术 技 术 从病毒体中提取病毒特征码构成病毒特征码库，反病毒毒软件 的 将用户计算机中的文件或程序等目标，与病毒特征码库中的特征值 逐一比对，判断该目标是否是病毒或者被病毒感染。 局 限 病毒特征码判断就像指纹识别一样，一个指纹对应一个人，一 性 个特征码只对应一个病毒
趋利性病毒新特点
趋 病毒免杀技术之一：变种 利 – 变种是在原有病毒的基础对其功能进行修改或者 性 增加，使得产生一个功能更加完善病毒； 病 – 该变种病毒和原来的病毒有继承性； 毒 – 变种后原病毒的文件特征已经发生改变由于特征 免 码已经改变 杀 – 杀毒软件无法识别这些变种的新病毒。 技 目前黑客大多用这种方法来增强病毒功能和 术
趋利性病毒攻击已成网络最大危害
大多数人认为，保护计算机要这样做：
• 安装杀毒软件 • 每天更新 • 定期扫描
趋利性病毒攻击已成网络最大危害
杀毒软件普及率很高，已经成为装机必备软件，但我 国计算机病毒感染率2007年达到91.47% ，感染３次以上的 计算机将近５４％
《2007年中国计算机病毒疫情调查技术分析报告》 国家计算机病毒应急处理中心
病毒趋利目的状况下 校园网的病毒状况
校园网安全现状
• 高校校园网络特点
– 网络速度快和规模大 – 活跃的用户群体 – 开放的网络环境 – 计算机系统管理比较复杂 – 盗版资源泛滥
校园网安全现状
• 校园网现状
– 1.校园网成为“僵尸网络”的主要发展对象
• 由于CERNET用户普遍接入带宽较高，使得校园网机器成为黑客最 喜爱的发展对象。
主要内容
1. 2. 3.
趋利性病毒攻击已成网络最大危害 杀毒软件的脆弱性 趋利性病毒新特点－对抗杀毒软件
4.
5.
反病毒新技术－主动防御
微点主动防御软件介绍
反病毒新技术－主动防御
主 动 防 御 技 术
主动防御:
2005年5月13日，我国反病毒专家刘旭提出了“杀毒软件亟待 克服重大技术缺陷，我国应尽快研制主动防御型产品”新思路。
反病毒新技术－主动防御
什么是主动防御
主动防御是基于程序行为自主分析判断的实时防护技术
主动防御
– 不以病毒的特征值作为判断病毒的依据 – 从最原始的病毒定义出发 – 直接将程序的行为作为判断病毒的依据
反病毒新技术－主动防御
疑问
为什么将程序的行为作为判断病毒的依据
反病毒新技术－主动防御
反病毒工程师如何识别病毒
微点公司简介
• 刘旭介绍
– – – – 从事反病毒技术研究20年 曾任国家863反病毒专家 原瑞星公司总裁、总工程师 国家863项目“基于程序行为自主分析判断的实时防护技术”
• 主持开发的反病毒产品
– 第一代：防病毒卡 – 第二代：瑞星杀毒软件 – 第三代：微点主动防御软
主要内容
1. 趋利性病毒攻击已成网络最大危害
反病毒技术讲座
北京东方微点信息技术有限责任公司
主要内容
1. 2. 3. 4. 5.
趋利性病毒攻击已成网络最大危害 杀毒软件的脆弱性 趋利性病毒新特点－对抗杀毒软件 反病毒新技术－主动防御 微点主动防御软件介绍
微点公司简介
• • • •
2005年1月创建 主要从事反病毒技术的研究和反病毒产品的开发 公司总经理－刘旭 主要产品微点主动防御软件
趋利性病毒新特点
趋 病毒免杀技术轻松躲避杀毒软件的查杀 利 性 »加壳 病 »加花 毒 »变种 免 杀 »频繁更新 技 术
趋利性病毒新特点
趋 病毒免杀技术之一：加壳 利 – 加壳是病毒制造者最常用、最简单、最有效躲避杀毒软件查杀 性 的技术。 病 – 从技术原理上来说加壳是利用一种特殊的算法，对可执行文件进行压缩加 密，借以改变其文件的特征。 毒 – 这就好比电影【画皮】中的女鬼披上了人皮一样。 免 杀 技 术
现 有 技 术 的 局 限 性
杀毒软件技术的局限性：
ቤተ መጻሕፍቲ ባይዱ
1、特征码依赖病毒 2、病毒收集依赖用户
杀毒软件的脆弱性
致 命 杀毒软件的脆弱性 缺 陷 1、不升级无法防范新编写的病毒； 导 2、不升级无法防范经过免杀技术处理的老病毒； 致 防 范 的 脆 弱 性
1. 2.
趋利性病毒攻击已成网络最大危害 杀毒软件的脆弱性 反病毒新技术－主动防御 微点主动防御软件介绍
趋利性病毒新特点
趋 利 性 病 毒 新 特 点
5）工具化、自动化：
自动生成病毒变种，导致病毒数量呈几何级数增长，反病毒公司处于难以应付的境地。
趋利性病毒新特点
趋 利 性 病 毒 免 杀 技 术
病毒制造者为了达到获取经济利益的目的 1、采取各种手段躲避杀毒软件的查杀 2、采取各种传播途径扩大病毒感染范围
杀毒软件的脆弱性
现 如何获取病毒特征码： 有 – 反病毒工程师从计算机中提取可疑程序； 技 – 然后反病毒工程师返回公司的实验室； 术 – 反病毒工程师在实验室运行可疑程序看行为，如果行为符合病毒 的 定义，判定此可疑程序是病毒 – 反病毒工程师为该病毒提取特征码（一个特征码只对应一个病 局 毒，就像一个指纹对应一个人） 限 – 用户计算机的杀毒软件升级该病毒特征码 性 – 扫描后，杀毒软件才能告诉用户，该可疑程序是病毒 杀毒软件能够查杀病毒的关键：
2. 3. 4. 5. 杀毒软件的脆弱性 趋利性病毒新特点－对抗杀毒软件 反病毒新技术－主动防御 微点主动防御软件介绍
趋利性病毒攻击已成网络最大危害
• 病毒制造者的目的发生了根本性的转变， 颠覆了传统意义上的病毒危害
– 早期：损人不利己
• 代表人物：CIH作者－陈盈豪
– 目前：获取经济利益
• 代表人物：熊猫烧香作者－李俊
通 过 收 徒 培 训 获 取 经 济 利 益
(开发者) 病毒制造 (生产者) 病毒加工(免杀) (销售) 出售病毒 (挂马者) 传播病毒 (偷盗者) 窃取信息 分取赃款 销售赃物 (销售)
病 毒 趋 利 的 种 种 表 现
病毒产业的高额利润
国家计算机病毒应急处理中心的调查数据显示，目前这条“黑色产业链”的 年产值已超过2.38亿元人民币，造成的损失则超过76亿元。
反病毒新技术－主动防御
主动防御基本思路
主动防御技术的基本思路是，通过对病毒行为规律分析、归纳、 总结，并结合反病毒专家判定病毒的经验，提炼出病毒识别规则知 识库；模拟专家发现新病毒的机理，通过分布在用户计算机系统上 的各种探针，动态监视程序运行的动作，并将程序的一系列通过逻 辑关系分析组成有意义的行为，再结合应用病毒识别规则知识，实 现对病毒的自动识别。
结论：如果用户没有提交病毒样本，反病毒公司就很难收 集到病毒。
现 有 技 术 的 局 限 性
400多万未知病毒谁处理？
德国AV测试实验室的数据显示，2007年全 球新出现病毒超过550万种； 国内某知名反病毒公司公布：2007年该公 司收集病毒91万种； 550万（总病毒数）－91万（已知病毒数） ＝459万（未知病毒数）
观看病毒加壳躲过杀毒软件查杀演示
趋利性病毒新特点
趋 病毒免杀技术之一：加花 利 – 加花是病毒免杀常用的手段 性 – 技术原理就是通过添加加花指令（一些垃圾指令，类型加1 病 减1之类的无用语句），使得病毒的文件特征发生了改变， 病毒特征码也就发生了变化，达到杀毒软件无法查杀的目的 毒 免 杀 技 术
利用各种传播途径扩大病毒感染范围
主要传播途径
• • • • • 网页挂马－守株待兔法，以逸待劳 U盘传播－反客为主，主动出击 捆 绑－笑里藏刀、偷梁换柱 漏 洞－ 暗渡陈仓 盗版操作系统
反病毒新技术－主动防御
面对当前的病毒与反病毒现状 真的就没有办法了吗? 探索反病毒新技术再次摆在了反病毒 行业的面前