淺談互聯(lián)網(wǎng)時代下的安全挑戰(zhàn)

淺談互聯(lián)網(wǎng)時代下的安全挑戰(zhàn)

惡意代碼是命令和命令，未經(jīng)計算機、個人數(shù)字助理或其他信息設(shè)備的授權(quán)執(zhí)行的。惡意代碼包括蠕蟲、病毒、特洛伊木馬、Root-Kit。惡意代碼可直接刪除文件、加密文件、停止正常服務(wù)進程、破壞系統(tǒng)、格式化磁盤，對計算機系統(tǒng)的完整性和可靠性構(gòu)成重大威脅，同時給企業(yè)帶來了重大的安全隱患，諸如個人隱私泄露和關(guān)鍵業(yè)務(wù)數(shù)據(jù)泄露等。1．2病毒類型惡意程序通常會未經(jīng)計算機用戶許可自行更改計算機、破壞計算機或者違反計算機用戶的意愿使用計算機。木馬和病毒統(tǒng)稱為惡意程序，木馬的特征是從程序表面看上去有用或無害，但它往往包含了旨在利用或損壞信息系統(tǒng)的隱藏代碼。病毒的特點是自行傳播，它可以通過網(wǎng)絡(luò)連接自動將其自身從一臺計算機分發(fā)到另一臺計算機上。典型惡意代碼類型如表1所示：(1）可執(zhí)行文件型。存在的形式是.EXE/.SYS后綴名的可執(zhí)行文件，是典型的伴隨性病毒，當文件被感染時會生成與可執(zhí)行文件名稱相同的.COM后綴文件，當執(zhí)行該程序時先啟動的是.COM名的文件，然后.COM文件調(diào)用.EXE/.SYS格式文件，特征是它會開啟計算機系統(tǒng)進程，可能是單個進程或者是多個進程，但往往權(quán)限比較小，已知的.batcom/.Exe后綴名的通常是可執(zhí)行文件病毒：（2）動態(tài)鏈接庫型。表現(xiàn)為會感染.dll后綴名的文件，被感染的dll自身是無法運行的，但當可執(zhí)行程序調(diào)用被感染的Dll動態(tài)鏈接庫時，惡意程序?qū)?，計算機系統(tǒng)感染該病毒后最大的特征是不停的下載安裝未知程序，計算機的運行處理速度也隨之變慢，已知的Lpk.dlL就是就是Dll病毒：（3）引導型。引導型病毒又稱磁盤引導病毒，通過繞過Windows操作系統(tǒng)的故障安全檢查機制感染Master開機記錄、磁盤主開機記錄，最大的特征是預先存儲在引導區(qū)，監(jiān)視系統(tǒng)運行，伺機傳染和破壞，已知的Bootkit病毒就是引導病毒：（4）宏病毒。英文名稱MicroVirus，是利用MicrosoftOffice的開放性，即利用Office中提供的BASIC編程接口傳播，傳染對象是Word、Excel、Access、PowerPoint，這種病毒可以通過DOC文檔和DOT模板進行自我復制和傳播，一旦該病毒被激活，它會感染計算機系統(tǒng)，并永久駐守在Normal模板上，特點是傳播極快，制作、變種簡單，破壞性極強，已知的TaiwanNo.1就是宏病毒：（5）硬件固化型。常常被用在社會工程學上，如黑客會通過寄送U盤的方式植入客戶計算機系統(tǒng)，表現(xiàn)為將惡意程序事先固化在可移動磁盤上，特點是當可移動磁盤接入計算機時惡意代碼會寫入系統(tǒng)，已知的incaseformat蠕蟲病毒就是硬件固化型病毒：（6）腳本型。是目前最流行的計算機病毒，通常利用網(wǎng)絡(luò)介質(zhì)和其他文檔一起發(fā)送給目標計算機進行傳播和破壞，腳本病毒的源代碼可讀性很強，可在任意的目標計算機上釋放執(zhí)行，特點是破壞性強、傳播速度快、變種類型多、代碼編寫簡單，它的前綴通常是Script/Js/VBS，已知的Script.Redlof/VBS.Happytime等就是腳本型病毒：（7）內(nèi)核驅(qū)動型。Root-Kit就是其中一種，通常他的安裝簡單且能產(chǎn)生驚人的結(jié)果，當它獲得管理權(quán)限后可以在計算機系統(tǒng)上安裝許多功能程序或OS內(nèi)核的特殊模塊，Root-Kit可以隱藏自身、通信網(wǎng)絡(luò)、注冊表、文件目錄、用戶和進程等，且能擦除侵入痕跡，它的工作機制是入侵系統(tǒng)→提升權(quán)限→屏蔽策略→藏匿→破壞系統(tǒng)資源，由于Root-Kit在隱藏文件方面非常的高效，因此它也經(jīng)常能夠成功地躲過即使是最強大的殺毒軟件的查殺，已知的Root-kit病毒有RootKit.Rootkit.7e5等。Root-Kit的配置文件：[GLOBAL]#下面為配置內(nèi)容2傳統(tǒng)檢測方法2.1n黨建程序組織文件（noa)是否被感染(1）內(nèi)容比較法。受感染的文件或系統(tǒng)必然會有版本和內(nèi)容的變化，可以檢查文件的變更時間和文件系統(tǒng)的所有者來發(fā)現(xiàn)文件系統(tǒng)是否被感染：（2）外觀檢測法。檢查計算機屏幕顯示、聲音、文件、程序、系統(tǒng)、打印機、驅(qū)動軟件以及外部設(shè)備是否有異常情況：（3）可移動磁盤寫入檢測。固化惡意代碼的可移動磁盤通常會將Auto-Run.inf寫入計算機系統(tǒng)，檢查計算機系統(tǒng)是否存在該文件來判定計算機系統(tǒng)是否被感染：（4）異常進程檢測。檢測使CPU、內(nèi)存使用率居高不下的異常進程，使用率最高時能達到100%，計算機也會因資源用盡而停止服務(wù)：（5）宏病毒檢測。檢索Normal.dot文件中是否存在AutoOpen、AutoClose、AutoNew的自動宏來判定是否被感染：（6）腳本語言惡意代碼檢測。先確定目標腳本是什么語言編寫的，再判斷其語言是否被重新定義成腳本病毒。腳本病毒語言的組成部分包括：運算符（如“+”，“=”等），標識符（如“x1”，“y2”等），定界符（如“{....}”，“BEGIN...END”等），關(guān)鍵字（如“IF...THEN”，“GOTO”等），數(shù)字，空格等，可以從它的IF和THEN之間的條件指向判定它的行為：（7)Root-Kit檢測。檢測流量通?？梢耘卸ㄓ嬎銠C向哪些外部接口發(fā)送數(shù)據(jù)，從而判定是否存在Root-Kit后門，uf06a檢測網(wǎng)絡(luò)進出的所有流量：uf06b使用Netcat工具連接異常流量接口，根據(jù)接口返回的信息判定是否是正常服務(wù)，如果是Root-Kit后門，則需要制作一個U盤啟動工具，工具里面安裝Root-KitRevealer、Vice及F-Secure的Blacklight工具進行檢測。2.2代碼樣本庫檢測簽名掃描法是使用最多的方法之一，該技術(shù)被應用于國內(nèi)大多數(shù)單機或集中檢測查殺系統(tǒng)，系統(tǒng)內(nèi)置已知惡意代碼樣本庫，是目前公認開銷最小且使用最廣泛的技術(shù)，它的檢測流程是：uf06a病毒庫內(nèi)置已知病毒樣本：uf06b采集并提取病毒樣本中特征代碼：uf06c將特征代碼納入病毒特征數(shù)據(jù)庫：uf06d檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼：uf06e出現(xiàn)新病毒后，重復第uf06a-uf06c步。2.3計算機病毒分析用軟件方法模擬一個程序運行環(huán)境，將可疑程序載入其中，執(zhí)行該程序并等待計算機病毒對自身進行解碼后，再運用特征代碼法來檢測識別病毒的種類。2.4保存文件的讀取在文件被感染前，根據(jù)文件的內(nèi)容計算其校驗和，將該校驗和保存在其它文件中。在每次使用文件時，讀出文件的內(nèi)容并重新計算校驗和，比較與原來保存值是否一致，若不一致就可以認為文件被感染。2.5惡意代碼的共同行為利用惡意代碼特有行為的特殊性來監(jiān)測惡意代碼，通過對惡意代碼的深入分析和總結(jié)，發(fā)現(xiàn)一些惡意代碼的共同行為，并且這些行為具有特殊性，不會在正常程序中出現(xiàn)或者比較罕見。在程序運行過程中，監(jiān)視其行為，與事先總結(jié)出的行為特征進行匹配。2.6病毒分析框架uf06a利用Debug反匯編程序?qū)⒂嬎銠C病毒反匯編后進行分析，分析病毒的組成模塊、病毒使用的系統(tǒng)調(diào)用、病毒采用的技巧：uf06b利用Debug調(diào)試工具在內(nèi)存帶毒的情況下，對病毒進行動態(tài)跟蹤，觀察病毒的具體工作過程，在靜態(tài)分析基礎(chǔ)上理解病毒的工作原理。2.7啟動公式分析此方法通過分析對象內(nèi)容中的指令序列來檢查對象，如果指令序列與已知病毒的指令序列匹配，則會引發(fā)警報。3護的邊界問題“零信任”是5G時代的網(wǎng)絡(luò)安全防護模型，相較于傳統(tǒng)網(wǎng)絡(luò)安全防護的邊界概念而言就是無邊界，用一句通俗的話來講就是“持續(xù)驗證，永不信任”。因為5G的高速帶寬沖破了網(wǎng)絡(luò)邊界，惡意代碼的查殺方式也隨著迭代更新。每個時代的檢測方法比較結(jié)果如表2所示：4edr系統(tǒng)檢測新一代的惡意代碼檢測從結(jié)構(gòu)上分為展示層、控制層、采集分析層，數(shù)據(jù)會流向每個層面。從時間觀念上分為三個階段，事前發(fā)現(xiàn)階段，事中攔截階段，事后處置階段，每個階段相互關(guān)聯(lián)，如下圖1所示：(1）圖1的14是展示層，病毒傳播的行為軌跡以及病毒處置結(jié)果都會展示在屏幕上：（2）圖1的11是EDR控制層，控制層與態(tài)勢感知聯(lián)動，態(tài)勢感知聯(lián)動蜜罐、ID/PS、WAF、防火墻等功能系統(tǒng)、，惡意代碼處置隔離動作都在控制層完成：圖1的10是EDR終端計算機系統(tǒng)：圖1的12是日志采集系統(tǒng)，會收集惡意代碼的檢測查殺日志，并將日志發(fā)送給14展示層：（4）圖1的13是未知文件檢測系統(tǒng)，使用動態(tài)和靜態(tài)相結(jié)合方式進行惡意代碼檢測，利用機器學習發(fā)現(xiàn)威脅，并使用虛擬環(huán)境（WinXP/Win7/Win10）運行可疑文件，防止惡意文件分片分段、加殼逃逸，檢測的文件類型包括uf06aWindows可執(zhí)行文件，EXE、dll等：uf06bWEB網(wǎng)頁，如檢測Javascript、Flash、JavaApplet等：uf06c各種辦公文檔，如Office、PDF、WPS等：uf06d各種圖片文件，如JPEG、PNP、JPG等：uf06e各種壓縮文件、加殼文件，未知威脅檢測系統(tǒng)使用Hypervisor檢測，檢測Hypervisor控制通道讀取檢測引擎的CPU、內(nèi)存數(shù)據(jù)，解析惡意文件的全部行為，系統(tǒng)融合了ELF啟發(fā)式檢測引擎、WEB/PDF啟發(fā)式檢測引擎、PE啟發(fā)式檢測引擎等技術(shù)。4.1檢測設(shè)備的轉(zhuǎn)變(1）調(diào)查取證流程，功能型安全設(shè)備發(fā)現(xiàn)威脅后上報給態(tài)勢感知，態(tài)勢感知向EDR控制中心下發(fā)IOC即威脅特征檢測任務(wù)，特征包括惡意域名、惡意IP地址，控制中心將IOC下發(fā)給終端計算機系統(tǒng)，終端計算機系統(tǒng)會做出檢測本地是否存在惡意代碼威脅，然后將檢測日志通過控制中心轉(zhuǎn)發(fā)給日志采集系統(tǒng)。（2）聯(lián)動處置流程：安全運維人員針對確認是惡意代碼威脅事件觸發(fā)終端計算機系統(tǒng)聯(lián)動處置策略后，態(tài)勢感會知根據(jù)事件信息及聯(lián)動處置方式下發(fā)聯(lián)動響應規(guī)則給EDR控制中心，EDR控制中心將聯(lián)動規(guī)則下發(fā)給對應的終端計算機系統(tǒng)EDR代理，EDR代理根據(jù)聯(lián)動響應規(guī)則對終端計算機系統(tǒng)的惡意代碼執(zhí)行清除隔離、結(jié)束進程、切斷網(wǎng)絡(luò)連接、禁止用戶動作。4.2“蜜罐”系統(tǒng)誘捕惡意代碼惡意代碼特征庫、惡意代碼檢測清理的處理速度、其它安全功能產(chǎn)品與“蜜罐”系統(tǒng)的聯(lián)動是反制的的必備條件，“蜜罐”系統(tǒng)誘捕惡意代碼，先讓惡意代碼進來，再由未知威脅系統(tǒng)對惡意代碼進行脫殼、提取并記錄其行為特征，接著將意代碼附加的信息五元組交給態(tài)勢感知對惡意代碼威脅源進行溯源、封堵。5計算機惡意程序檢測新一代的惡意代碼檢測查殺技術(shù)正在普及，這個階段遇到惡意程序被檢測到之后，安全運維人員也不必慌張，要理解清除惡意代碼的本質(zhì)是掌握病毒原理，然后對惡意代碼進行清除，一般采用以下幾個方法：（1）阻斷。切斷網(wǎng)絡(luò)，拔掉單個感染源的網(wǎng)線，檢查局域網(wǎng)內(nèi)其它計算機是否被被感染，將病毒源鎖定在較小的范圍內(nèi)：（2）識別：識別感染源，分析惡意代碼原理：（3）控制。uf06a破壞回寫：破壞計惡意程序大都帶有回寫機制，即在檢測到當其文件或啟動項等被刪除之后，又回寫回去，需針對性地破壞該機制：uf06b禁用：禁用啟動項禁用其啟動項之后，惡意軟件就無法再次啟動：uf06c停止：停止打印服務(wù)、文件共享服務(wù)、遠程桌面服務(wù)：uf06d升級：升級服務(wù)版本：（4）清除。清除惡意代碼，并將惡意代碼更新到特征庫：（5）恢復。uf06a壓縮：壓縮被感染的文件，uf06b還原：還原被惡意代碼感染的數(shù)據(jù)文件。6注意用戶要使用第三方軟件綜上所述，文章總結(jié)并歸納了七種不