淺談互聯(lián)網(wǎng)時(shí)代下的安全挑戰(zhàn)

淺談互聯(lián)網(wǎng)時(shí)代下的安全挑戰(zhàn)

惡意代碼是命令和命令，未經(jīng)計(jì)算機(jī)、個(gè)人數(shù)字助理或其他信息設(shè)備的授權(quán)執(zhí)行的。惡意代碼包括蠕蟲、病毒、特洛伊木馬、Root-Kit。惡意代碼可直接刪除文件、加密文件、停止正常服務(wù)進(jìn)程、破壞系統(tǒng)、格式化磁盤，對計(jì)算機(jī)系統(tǒng)的完整性和可靠性構(gòu)成重大威脅，同時(shí)給企業(yè)帶來了重大的安全隱患，諸如個(gè)人隱私泄露和關(guān)鍵業(yè)務(wù)數(shù)據(jù)泄露等。1．2病毒類型惡意程序通常會(huì)未經(jīng)計(jì)算機(jī)用戶許可自行更改計(jì)算機(jī)、破壞計(jì)算機(jī)或者違反計(jì)算機(jī)用戶的意愿使用計(jì)算機(jī)。木馬和病毒統(tǒng)稱為惡意程序，木馬的特征是從程序表面看上去有用或無害，但它往往包含了旨在利用或損壞信息系統(tǒng)的隱藏代碼。病毒的特點(diǎn)是自行傳播，它可以通過網(wǎng)絡(luò)連接自動(dòng)將其自身從一臺(tái)計(jì)算機(jī)分發(fā)到另一臺(tái)計(jì)算機(jī)上。典型惡意代碼類型如表1所示：(1）可執(zhí)行文件型。存在的形式是.EXE/.SYS后綴名的可執(zhí)行文件，是典型的伴隨性病毒，當(dāng)文件被感染時(shí)會(huì)生成與可執(zhí)行文件名稱相同的.COM后綴文件，當(dāng)執(zhí)行該程序時(shí)先啟動(dòng)的是.COM名的文件，然后.COM文件調(diào)用.EXE/.SYS格式文件，特征是它會(huì)開啟計(jì)算機(jī)系統(tǒng)進(jìn)程，可能是單個(gè)進(jìn)程或者是多個(gè)進(jìn)程，但往往權(quán)限比較小，已知的.batcom/.Exe后綴名的通常是可執(zhí)行文件病毒：（2）動(dòng)態(tài)鏈接庫型。表現(xiàn)為會(huì)感染.dll后綴名的文件，被感染的dll自身是無法運(yùn)行的，但當(dāng)可執(zhí)行程序調(diào)用被感染的Dll動(dòng)態(tài)鏈接庫時(shí)，惡意程序?qū)?huì)啟動(dòng)，計(jì)算機(jī)系統(tǒng)感染該病毒后最大的特征是不停的下載安裝未知程序，計(jì)算機(jī)的運(yùn)行處理速度也隨之變慢，已知的Lpk.dlL就是就是Dll病毒：（3）引導(dǎo)型。引導(dǎo)型病毒又稱磁盤引導(dǎo)病毒，通過繞過Windows操作系統(tǒng)的故障安全檢查機(jī)制感染Master開機(jī)記錄、磁盤主開機(jī)記錄，最大的特征是預(yù)先存儲(chǔ)在引導(dǎo)區(qū)，監(jiān)視系統(tǒng)運(yùn)行，伺機(jī)傳染和破壞，已知的Bootkit病毒就是引導(dǎo)病毒：（4）宏病毒。英文名稱MicroVirus，是利用MicrosoftOffice的開放性，即利用Office中提供的BASIC編程接口傳播，傳染對象是Word、Excel、Access、PowerPoint，這種病毒可以通過DOC文檔和DOT模板進(jìn)行自我復(fù)制和傳播，一旦該病毒被激活，它會(huì)感染計(jì)算機(jī)系統(tǒng)，并永久駐守在Normal模板上，特點(diǎn)是傳播極快，制作、變種簡單，破壞性極強(qiáng)，已知的TaiwanNo.1就是宏病毒：（5）硬件固化型。常常被用在社會(huì)工程學(xué)上，如黑客會(huì)通過寄送U盤的方式植入客戶計(jì)算機(jī)系統(tǒng)，表現(xiàn)為將惡意程序事先固化在可移動(dòng)磁盤上，特點(diǎn)是當(dāng)可移動(dòng)磁盤接入計(jì)算機(jī)時(shí)惡意代碼會(huì)寫入系統(tǒng)，已知的incaseformat蠕蟲病毒就是硬件固化型病毒：（6）腳本型。是目前最流行的計(jì)算機(jī)病毒，通常利用網(wǎng)絡(luò)介質(zhì)和其他文檔一起發(fā)送給目標(biāo)計(jì)算機(jī)進(jìn)行傳播和破壞，腳本病毒的源代碼可讀性很強(qiáng)，可在任意的目標(biāo)計(jì)算機(jī)上釋放執(zhí)行，特點(diǎn)是破壞性強(qiáng)、傳播速度快、變種類型多、代碼編寫簡單，它的前綴通常是Script/Js/VBS，已知的Script.Redlof/VBS.Happytime等就是腳本型病毒：（7）內(nèi)核驅(qū)動(dòng)型。Root-Kit就是其中一種，通常他的安裝簡單且能產(chǎn)生驚人的結(jié)果，當(dāng)它獲得管理權(quán)限后可以在計(jì)算機(jī)系統(tǒng)上安裝許多功能程序或OS內(nèi)核的特殊模塊，Root-Kit可以隱藏自身、通信網(wǎng)絡(luò)、注冊表、文件目錄、用戶和進(jìn)程等，且能擦除侵入痕跡，它的工作機(jī)制是入侵系統(tǒng)→提升權(quán)限→屏蔽策略→藏匿→破壞系統(tǒng)資源，由于Root-Kit在隱藏文件方面非常的高效，因此它也經(jīng)常能夠成功地躲過即使是最強(qiáng)大的殺毒軟件的查殺，已知的Root-kit病毒有RootKit.Rootkit.7e5等。Root-Kit的配置文件：[GLOBAL]#下面為配置內(nèi)容2傳統(tǒng)檢測方法2.1n黨建程序組織文件（noa)是否被感染(1）內(nèi)容比較法。受感染的文件或系統(tǒng)必然會(huì)有版本和內(nèi)容的變化，可以檢查文件的變更時(shí)間和文件系統(tǒng)的所有者來發(fā)現(xiàn)文件系統(tǒng)是否被感染：（2）外觀檢測法。檢查計(jì)算機(jī)屏幕顯示、聲音、文件、程序、系統(tǒng)、打印機(jī)、驅(qū)動(dòng)軟件以及外部設(shè)備是否有異常情況：（3）可移動(dòng)磁盤寫入檢測。固化惡意代碼的可移動(dòng)磁盤通常會(huì)將Auto-Run.inf寫入計(jì)算機(jī)系統(tǒng)，檢查計(jì)算機(jī)系統(tǒng)是否存在該文件來判定計(jì)算機(jī)系統(tǒng)是否被感染：（4）異常進(jìn)程檢測。檢測使CPU、內(nèi)存使用率居高不下的異常進(jìn)程，使用率最高時(shí)能達(dá)到100%，計(jì)算機(jī)也會(huì)因資源用盡而停止服務(wù)：（5）宏病毒檢測。檢索Normal.dot文件中是否存在AutoOpen、AutoClose、AutoNew的自動(dòng)宏來判定是否被感染：（6）腳本語言惡意代碼檢測。先確定目標(biāo)腳本是什么語言編寫的，再判斷其語言是否被重新定義成腳本病毒。腳本病毒語言的組成部分包括：運(yùn)算符（如“+”，“=”等），標(biāo)識(shí)符（如“x1”，“y2”等），定界符（如“{....}”，“BEGIN...END”等），關(guān)鍵字（如“IF...THEN”，“GOTO”等），數(shù)字，空格等，可以從它的IF和THEN之間的條件指向判定它的行為：（7)Root-Kit檢測。檢測流量通?？梢耘卸ㄓ?jì)算機(jī)向哪些外部接口發(fā)送數(shù)據(jù)，從而判定是否存在Root-Kit后門，uf06a檢測網(wǎng)絡(luò)進(jìn)出的所有流量：uf06b使用Netcat工具連接異常流量接口，根據(jù)接口返回的信息判定是否是正常服務(wù)，如果是Root-Kit后門，則需要制作一個(gè)U盤啟動(dòng)工具，工具里面安裝Root-KitRevealer、Vice及F-Secure的Blacklight工具進(jìn)行檢測。2.2代碼樣本庫檢測簽名掃描法是使用最多的方法之一，該技術(shù)被應(yīng)用于國內(nèi)大多數(shù)單機(jī)或集中檢測查殺系統(tǒng)，系統(tǒng)內(nèi)置已知惡意代碼樣本庫，是目前公認(rèn)開銷最小且使用最廣泛的技術(shù)，它的檢測流程是：uf06a病毒庫內(nèi)置已知病毒樣本：uf06b采集并提取病毒樣本中特征代碼：uf06c將特征代碼納入病毒特征數(shù)據(jù)庫：uf06d檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼：uf06e出現(xiàn)新病毒后，重復(fù)第uf06a-uf06c步。2.3計(jì)算機(jī)病毒分析用軟件方法模擬一個(gè)程序運(yùn)行環(huán)境，將可疑程序載入其中，執(zhí)行該程序并等待計(jì)算機(jī)病毒對自身進(jìn)行解碼后，再運(yùn)用特征代碼法來檢測識(shí)別病毒的種類。2.4保存文件的讀取在文件被感染前，根據(jù)文件的內(nèi)容計(jì)算其校驗(yàn)和，將該校驗(yàn)和保存在其它文件中。在每次使用文件時(shí)，讀出文件的內(nèi)容并重新計(jì)算校驗(yàn)和，比較與原來保存值是否一致，若不一致就可以認(rèn)為文件被感染。2.5惡意代碼的共同行為利用惡意代碼特有行為的特殊性來監(jiān)測惡意代碼，通過對惡意代碼的深入分析和總結(jié)，發(fā)現(xiàn)一些惡意代碼的共同行為，并且這些行為具有特殊性，不會(huì)在正常程序中出現(xiàn)或者比較罕見。在程序運(yùn)行過程中，監(jiān)視其行為，與事先總結(jié)出的行為特征進(jìn)行匹配。2.6病毒分析框架uf06a利用Debug反匯編程序?qū)⒂?jì)算機(jī)病毒反匯編后進(jìn)行分析，分析病毒的組成模塊、病毒使用的系統(tǒng)調(diào)用、病毒采用的技巧：uf06b利用Debug調(diào)試工具在內(nèi)存帶毒的情況下，對病毒進(jìn)行動(dòng)態(tài)跟蹤，觀察病毒的具體工作過程，在靜態(tài)分析基礎(chǔ)上理解病毒的工作原理。2.7啟動(dòng)公式分析此方法通過分析對象內(nèi)容中的指令序列來檢查對象，如果指令序列與已知病毒的指令序列匹配，則會(huì)引發(fā)警報(bào)。3護(hù)的邊界問題“零信任”是5G時(shí)代的網(wǎng)絡(luò)安全防護(hù)模型，相較于傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的邊界概念而言就是無邊界，用一句通俗的話來講就是“持續(xù)驗(yàn)證，永不信任”。因?yàn)?G的高速帶寬沖破了網(wǎng)絡(luò)邊界，惡意代碼的查殺方式也隨著迭代更新。每個(gè)時(shí)代的檢測方法比較結(jié)果如表2所示：4edr系統(tǒng)檢測新一代的惡意代碼檢測從結(jié)構(gòu)上分為展示層、控制層、采集分析層，數(shù)據(jù)會(huì)流向每個(gè)層面。從時(shí)間觀念上分為三個(gè)階段，事前發(fā)現(xiàn)階段，事中攔截階段，事后處置階段，每個(gè)階段相互關(guān)聯(lián)，如下圖1所示：(1）圖1的14是展示層，病毒傳播的行為軌跡以及病毒處置結(jié)果都會(huì)展示在屏幕上：（2）圖1的11是EDR控制層，控制層與態(tài)勢感知聯(lián)動(dòng)，態(tài)勢感知聯(lián)動(dòng)蜜罐、ID/PS、WAF、防火墻等功能系統(tǒng)、，惡意代碼處置隔離動(dòng)作都在控制層完成：圖1的10是EDR終端計(jì)算機(jī)系統(tǒng)：圖1的12是日志采集系統(tǒng)，會(huì)收集惡意代碼的檢測查殺日志，并將日志發(fā)送給14展示層：（4）圖1的13是未知文件檢測系統(tǒng)，使用動(dòng)態(tài)和靜態(tài)相結(jié)合方式進(jìn)行惡意代碼檢測，利用機(jī)器學(xué)習(xí)發(fā)現(xiàn)威脅，并使用虛擬環(huán)境（WinXP/Win7/Win10）運(yùn)行可疑文件，防止惡意文件分片分段、加殼逃逸，檢測的文件類型包括uf06aWindows可執(zhí)行文件，EXE、dll等：uf06bWEB網(wǎng)頁，如檢測Javascript、Flash、JavaApplet等：uf06c各種辦公文檔，如Office、PDF、WPS等：uf06d各種圖片文件，如JPEG、PNP、JPG等：uf06e各種壓縮文件、加殼文件，未知威脅檢測系統(tǒng)使用Hypervisor檢測，檢測Hypervisor控制通道讀取檢測引擎的CPU、內(nèi)存數(shù)據(jù)，解析惡意文件的全部行為，系統(tǒng)融合了ELF啟發(fā)式檢測引擎、WEB/PDF啟發(fā)式檢測引擎、PE啟發(fā)式檢測引擎等技術(shù)。4.1檢測設(shè)備的轉(zhuǎn)變(1）調(diào)查取證流程，功能型安全設(shè)備發(fā)現(xiàn)威脅后上報(bào)給態(tài)勢感知，態(tài)勢感知向EDR控制中心下發(fā)IOC即威脅特征檢測任務(wù)，特征包括惡意域名、惡意IP地址，控制中心將IOC下發(fā)給終端計(jì)算機(jī)系統(tǒng)，終端計(jì)算機(jī)系統(tǒng)會(huì)做出檢測本地是否存在惡意代碼威脅，然后將檢測日志通過控制中心轉(zhuǎn)發(fā)給日志采集系統(tǒng)。（2）聯(lián)動(dòng)處置流程：安全運(yùn)維人員針對確認(rèn)是惡意代碼威脅事件觸發(fā)終端計(jì)算機(jī)系統(tǒng)聯(lián)動(dòng)處置策略后，態(tài)勢感會(huì)知根據(jù)事件信息及聯(lián)動(dòng)處置方式下發(fā)聯(lián)動(dòng)響應(yīng)規(guī)則給EDR控制中心，EDR控制中心將聯(lián)動(dòng)規(guī)則下發(fā)給對應(yīng)的終端計(jì)算機(jī)系統(tǒng)EDR代理，EDR代理根據(jù)聯(lián)動(dòng)響應(yīng)規(guī)則對終端計(jì)算機(jī)系統(tǒng)的惡意代碼執(zhí)行清除隔離、結(jié)束進(jìn)程、切斷網(wǎng)絡(luò)連接、禁止用戶動(dòng)作。4.2“蜜罐”系統(tǒng)誘捕惡意代碼惡意代碼特征庫、惡意代碼檢測清理的處理速度、其它安全功能產(chǎn)品與“蜜罐”系統(tǒng)的聯(lián)動(dòng)是反制的的必備條件，“蜜罐”系統(tǒng)誘捕惡意代碼，先讓惡意代碼進(jìn)來，再由未知威脅系統(tǒng)對惡意代碼進(jìn)行脫殼、提取并記錄其行為特征，接著將意代碼附加的信息五元組交給態(tài)勢感知對惡意代碼威脅源進(jìn)行溯源、封堵。5計(jì)算機(jī)惡意程序檢測新一代的惡意代碼檢測查殺技術(shù)正在普及，這個(gè)階段遇到惡意程序被檢測到之后，安全運(yùn)維人員也不必慌張，要理解清除惡意代碼的本質(zhì)是掌握病毒原理，然后對惡意代碼進(jìn)行清除，一般采用以下幾個(gè)方法：（1）阻斷。切斷網(wǎng)絡(luò)，拔掉單個(gè)感染源的網(wǎng)線，檢查局域網(wǎng)內(nèi)其它計(jì)算機(jī)是否被被感染，將病毒源鎖定在較小的范圍內(nèi)：（2）識(shí)別：識(shí)別感染源，分析惡意代碼原理：（3）控制。uf06a破壞回寫：破壞計(jì)惡意程序大都帶有回寫機(jī)制，即在檢測到當(dāng)其文件或啟動(dòng)項(xiàng)等被刪除之后，又回寫回去，需針對性地破壞該機(jī)制：uf06b禁用：禁用啟動(dòng)項(xiàng)禁用其啟動(dòng)項(xiàng)之后，惡意軟件就無法再次啟動(dòng)：uf06c停止：停止打印服務(wù)、文件共享服務(wù)、遠(yuǎn)程桌面服務(wù)：uf06d升級(jí)：升級(jí)服務(wù)版本：（4）清除。清除惡意代碼，并將惡意代碼更新到特征庫：（5）恢復(fù)。uf06a壓縮：壓縮被感染的文件，uf06b還原：還原被惡意代碼感染的數(shù)據(jù)文件。6注意用戶要使用第三方軟件綜上所述，文章總結(jié)并歸納了七種不