积极防御 新一代主动式

1. 诚信贵在风雨同舟 积极防御新一代主动式 恶意代码 演讲者 Venus CTO liuheng@venutstech.com.cn 刘 恒 Ph.D 010-62149966-123

2. 目的 • 危害：恶意代码 • 技术：扬长补短 • 措施：积极防御

3. 为什么？ • 黑客技术 • 病毒技术 恶意代码

4. 提纲 • 背景趋势 • 恶意代码 • 关键技术 • 防范技术

5. 背景趋势 新一代主动式恶意代码 2002

6. 背景趋势 工具 攻击者

7. 背景趋势 恶意代码对全球经济影响 ($ U.S. Billions) Nimda $635M CodeRed(s) $2.62B SirCam $1.15B Source: Computer Economics 01.02.02

8. 背景趋势 安全项目

9. 背景趋势 安全障碍

10. 背景趋势 攻击速度 July 19 01:05:00 2001

11. 背景趋势 攻击速度 July 19 20:15:00 2001

12. 扫描 探测 传递复制 背景趋势 新一代主动式恶意代码 • 极短时间内（Flash worms---30s），利用优化扫描的方法，感染近十万个有漏洞的系统,可以确定并记录是否被击中（4-5分钟，感染近百万台系统）。 被感染的机器 有漏洞的机器

13. 反馈 ... ... ... ... ... 攻击者 ... ... 背景趋势 新模型 • VBS/Netlog 蠕虫 :网络共享（Scanning + Attack） • Detlog蠕虫 : NetBUS木马(Scanning + Attack）

15. 提纲 • 背景趋势 • 恶意代码 • 关键技术 • 防范技术

16. 恶意代码 Malware=

17. 恶意代码 • 无固定端口，无更多连接 • 远程控制 • 扫描+攻击 • 可放置在所有网络层 • ICMP, IP, TCP, UDP, HTTP, SMTP, DNS ... • 难于检测 • Secure Communication(Crypto), Covert Channels • Kernel Backdoor

18. 恶意代码 反向连接 攻击者 目标 (1) Send SYN periodically (2) Listen and reply 客户端 服务器 Firewall Allow Outgoing Traffic

19. Dakfjdjfdsafkdafld jdkjajfdlkiefjdksjalfdksajdlsakfdsalkfdkslafjdksafljddfksajfdjskajfdsjafdjsakjfdksjafkdjlsafjldksjafowjfejwaijiojkajfdkajdsajfdjsajfdjasfjdjsalfjlsdk 恶意代码

20. 恶意代码 ** ** 红虫：多达 225,000站点数小时内攻破。

21. 恶意代码 大约每天产生30个新病毒 • W32.Klez.A@mm • W32.ElKern.3326 • W32.Anset.Worm • Backdoor.Oblivion • W32.Toal.A@mm • W32.DpBot.Trojan

22. 提纲 • 背景趋势 • 恶意代码 • 关键技术 • 防范技术

23. 关键技术 • 混合威胁（blended threat） • 系统漏洞(CVE) • 社会工程 • 跨平台 • 远程攻击特性 • 寄生病毒、破坏性木马、后门 • 远程访问木马RATs、根工具

24. 关键技术 • 自动化制作 • VCS（改文字） • VCL（Buggy） • MtE TPE（多种例程---隐蔽、管道、感染、破坏） • 管道引擎 KRTT，PS-MPCs • 组织化 • ARCV小组(VCL、PS-MPCs） • 代码化 由此产生，成千上万的病毒

25. 关键技术 • 躲避、攻击 • Tequila to ViruScan, • Peach to Central Point • 多态性 • 加密、变换、插入 • V2Px,MtE-,TPE-类型 • 多级反病毒防御

26. 关键技术 • 误报（false positive） • 故意携带特征 • 插入合法程序 • 引起错误辩识 • 用户反感 • 厂商官司 • 减少风险 • 降低质量

27. 关键技术 • 挑战： • 干净启动 • 硬件级秘密行动（截取“device ready”中断，修改缓冲区内容，感染硬盘） • 多态病毒（Commander Bomber，随机插入，再重组）

28. 关键技术 • 挑战： • 慢性病毒（慢速变异，随机感染文件） • 高级语言编写病毒（编译器、库） • Sentine， Kamikaze, Wonder • 非常难防 • 更多的人可以写病毒

29. 提纲 • 背景趋势 • 恶意代码 • 关键技术 • 防范技术

30. 防范技术 • 转折点 • 2001 反病毒产业 • 新技术、新方法 • 邮件病毒、黑客攻击、拒绝服务、混合攻击 • 进入网络，短时间造成损害 • 在集中管理下的检测与保护成为基础

31. 防范技术 • 传统防病毒软件失败来自与以下两项统计： • 几乎所有计算机安装了防病毒系统 • 感染数量和损失每年翻倍。 • 产品在蠕虫、木马、击键记录器、黑客工具等面前有些无能为力 • 较有效的方法：利用自适应的、基于异常行为检测

32. 防范技术 • 边界过滤、主机扫描有一定作用 • 操作系统和应用系统的漏洞为病毒大开其门 • IM, ICQ引来新的安全问题 • IM客户端漏洞暴露 • 通过IM下载执行恶意代码 • 机密信息泄露。 • 措施:AEMS（authenticated execution management system） • 工作依赖于白名单，其他被拒绝 • AV依赖于黑名单

33. x = 脆弱性 威胁 x x = 风险 资产价值 无能反应 防范技术 风险 预计损失

34. 防范技术 • 前摄性策略 • 降低风险 • 标识恶意代码 • 阻止恶意代码 • 实时检测技术 • 沙箱技术 • 启发式分析技术

35. 防范技术 • 沙箱技术 • 标识每个程序是否是恶意的 • 独立应用的访问控制方法 • 监控他们的行为 • 监控引擎，复杂规则集

36. 防范技术 • 启发式分析技术 • 统计分析方法 • 分析程序代码（循环、顺序、VBA类型） • 判断是否包含恶意指令 • 利用深度分析能力，智能行为监测

37. 纵深防御 • 安全系统失效原因： • 保护对象偏差 • 保护方法不当 • 作出不佳假设 • 不了解真正威胁 • 忽略攻击者 • 未完全理解系统范围

38. 纵深防御 • 必要性 • 单一防御往往失效 • 耦合度不高，降低整体安全 • 特性 • 糅合多种安全解决方案 • 强调所有潜在入口点 • 集成通告与响应

39. 纵深防御 • 标识风险 • 网络所有连接 • 在用的协议、服务 • 网络应用 • 正常网络通讯 “The greatest of faults, I should say, is to be conscious of none.”– Thomas Carlyle

40. 纵深防御 • 安全策略 • 风险转移---服务等级 • 白名单------黑名单 • 运用技术 • 贯彻策略 • 多层保护 • 及时验证

41. 纵深防御 • 检测、通告、响应 • 集中管理 • 事件自动处理 • 增强防御 • 关注实际商业问题

42. 价值提案 • 最大化安全级别 • 增强响应能力 • 保护商业资产 • 降低商业风险

43. 纵深防御 纵深防御

44. 纵深防御

45. 纵深防御

46. 纵深防御

47. 纵深防御

48. 纵深防御

49. 纵深防御

50. 总结 • 黑客技术与病毒技术融合，新一代恶意代码 • 单一防治技术，不能有效防治 • 不能过分依赖产品 • 厂商实事求是，不应强调数量、宣传强大功能、进行恶性竞争 • 应该以客户为中心，让用户了解产品、技术局限性，充分发挥他们作用的同时，进行纵深防御 • 强调用户主动防治策略，采用技术，风险管理，及时发现，有效措施，减少损失