亚博全站APP登录

【文稿】APT对传统反病毒技术的威胁和我们的应对尝试

时间 :  2012年10月20日  来源:  安(an)天


        编者按:本文稿是根据作者2012年10月20日在CNCC2012中国计算机大会信息安全专题论坛速记稿,整理增删而成。

       1、 引言

        APT(Advanced Persistent Threat,高级持续性威胁)是我们目前非常感兴趣的方面,我们也曾多次在公开场合谈论APT,而与上一次在NINIS(国家网络信息安全技术研究所)的安全威胁论坛中总结我们的一些不足相比,我们已取得了更多实际的工作进展。今天我想站在传统的反病毒从业者的角度(而不只是站在一个分析者的角度)再进行一次自我的分析和反思。

        无论是谈APT还是谈任何安全威胁,以至于谈到任何安全问题或安全事件,都脱离不开几个基本的要素。像一切其他事物一样,安全事件的要素必然也包括:时间、地点、“人物”等等,这就引出了我们今天要讨论的话题:试想在APT时代的时间、地点和人物观,与在传统的病毒时代的时间、地点和人物观之间有什么不同。

       1.1 对比之“时间”

        首先让我们从时间的角度回顾一下更为传统的恶意代码。在感染式病毒、DOS病毒基于磁盘传播的时代,最早的恶意代码是由于人与人之间或设备与设备之间简单的介质交换产生的,这是一个极度的慢速扩散的结果。而“时间”这个概念真正被提升到反病毒工作者的意识日程上,则是在蠕虫时代到来之后。杜跃进博士曾把恶意代码断代划分为蠕虫时代、木马时代和窃密时代,我的理解这是一个从“以手段为主导”向“以对象目标为主导”的演进。尽管上世纪90年代末,类似Melissa、Happy99等蠕虫已经出现,但所谓蠕虫时代多数人基本认为是从2000年开始的。

病毒名称 释放时间 发现时间
CodeRedII 2001年8月3日 2001年8月3日(ri)
冲击波(Blaster) 2003年(nian)8月11日 2003年8月(yue)12日(ri)
震(zhen)荡波(bo)(Sasser) 2004年4月30日 2004年5月1日
Zotob 2005年8月13日 2005年(nian)8月16日
Nyxem 2006年1月20 2006年2月3日
 
表1-1蠕虫时代

 

        此处我们列举了从2001年到2006年5个比较典型的恶意代码,包括像CodeRedII、冲击波、震荡波等这些具有快速传播能力且赫赫有名的恶意代码,我们可以得出一个结论,无论当时这些恶意代码把反病毒厂商和安全响应组织打得多么措手不及,但不可否认的是这些安全团队对它的感知时间都没有超过24小时。从另一种意义上来讲,当代反病毒厂商的应急捕获体系是经过蠕虫时代的快速网络传播感染的历练所成熟起来的,过去的反病毒对抗是一种捕获-辨识对抗到查杀对抗的过程,在这个过程中,更多是对我们捕获链条和规划反噬的穿透,并形成了这样一种时间链条。

病毒名称 释放时间 发现时间
Stuxnet 2009年6月 2010年7月
Duqu 2007年或2008年? 2011年8月(yue)
Flame 2007年12月之(zhi)前? 2012年5月

  表1-2APT时代
     
        与之对比,我们再看一看APT时代的时间链条。在APT时代有三个非常典型的恶意代码:Stuxnet、Duqu和Flame。我们将释放推测时间与发现时间进行一下对比:
 
         Stuxnet是在2010年7月被发现的,根据其对应的时间戳信息,我们认为它的释放时间是在2009年6月;
         Duqu是在2011年8月被发现的,目前认为它的释放时间是在2007年底或在2008年初;
         Flame则更晚,它在2012年5月才被发现。但从其一些早期被发现的驱动以及陆续注册的域名来看,其体系在2007年底就已经开始了早期的活动。
 
       从(cong)上面的(de)(de)(de)时间对比中,我们可(ke)以看(kan)出令整(zheng)个(ge)安全(quan)(quan)业(ye)界(jie)感(gan)(gan)到非常(chang)尴尬的(de)(de)(de)一点(dian),就是这(zhei)(zhei)些APT蠕虫至少存在(zai)(zai)了几乎(hu)一年(nian)之久才被业(ye)内(nei)(nei)广泛感(gan)(gan)知(zhi)和进(jin)行相(xiang)应(ying)处理。而更让安全(quan)(quan)业(ye)界(jie)感(gan)(gan)到尴尬的(de)(de)(de)是,根据现在(zai)(zai)的(de)(de)(de)时间链条推导(dao),这(zhei)(zhei)些恶意代码的(de)(de)(de)释(shi)(shi)放(fang)时间正好与发(fa)现时间的(de)(de)(de)顺序相(xiang)反(fan)。我们基本上认为,这(zhei)(zhei)次的(de)(de)(de)整(zheng)个(ge)APT事(shi)件(jian)就是以最(zui)(zui)终彻底破坏伊朗(lang)相(xiang)关工(gong)(gong)业(ye)体系(xi)的(de)(de)(de)Stuxnet为最(zui)(zui)终攻击结(jie)果,而以Flame和Duqu为前(qian)置的(de)(de)(de)搜集前(qian)导(dao)。也就是说在(zai)(zai)Flame几乎(hu)长(zhang)达5年(nian)的(de)(de)(de)活跃(yue)时间内(nei)(nei),整(zheng)个(ge)安全(quan)(quan)业(ye)界(jie)没(mei)有任何感(gan)(gan)知(zhi),直到最(zui)(zui)后Stuxnet发(fa)动致(zhi)命一击,安全(quan)(quan)业(ye)界(jie)才开始关注工(gong)(gong)控系(xi)统安全(quan)(quan),关注APT攻击,并通过逐步的(de)(de)(de)定向、发(fa)现、挖(wa)掘,在(zai)(zai)有用户提交样本的(de)(de)(de)配合下,最(zui)(zui)终发(fa)现了最(zui)(zui)早的(de)(de)(de)Flame。这(zhei)(zhei)种“释(shi)(shi)放(fang)时间->发(fa)现时间”关系(xi)的(de)(de)(de)倒错,反(fan)映(ying)了整(zheng)个(ge)APT时代时间观的(de)(de)(de)变化(hua),反(fan)病毒(du)厂商已经由“24小时”敏锐(rui)感(gan)(gan)知(zhi)能(neng)力退化(hua)到了以“月”甚至以“年(nian)”为单位的(de)(de)(de)迟钝感(gan)(gan)知(zhi)能(neng)力。
 
       1.2 对比之“地点”
 
       我们再来回顾一(yi)(yi)下传统的(de)(de)(de)(de)病毒时(shi)代(dai)的(de)(de)(de)(de)地点观的(de)(de)(de)(de)变(bian)化。图1-1是(shi)国(guo)外(wai)有关机构所(suo)发布的(de)(de)(de)(de)Slammer蠕(ru)虫(chong)发作30分钟后的(de)(de)(de)(de)感(gan)(gan)(gan)染(ran)范(fan)围(wei)示(shi)(shi)意(yi)(yi)图(注:Slammer蠕(ru)虫(chong)于2003年1月25日(ri)首次出现,它是(shi)一(yi)(yi)种SQL蠕(ru)虫(chong),长度(du)(du)为384字节,通(tong)过UDP广(guang)播(bo)(bo)方式快速传播(bo)(bo),在(zai)很短时(shi)间内感(gan)(gan)(gan)染(ran)全球大(da)量SQL Server服(fu)务器。)从整个示(shi)(shi)意(yi)(yi)图中(zhong)我们可以(yi)看出,Slammer蠕(ru)虫(chong)密度(du)(du)比(bi)较大(da)的(de)(de)(de)(de)区(qu)(qu)域主要(yao)集中(zhong)在(zai)美国(guo)全境(jing)(jing)、西欧全境(jing)(jing)和(he)中(zhong)国(guo)的(de)(de)(de)(de)东南沿海,这说明(ming)恶(e)(e)意(yi)(yi)代(dai)码在(zai)没有定(ding)向(xiang)性的(de)(de)(de)(de)情况(kuang)(kuang)下,它的(de)(de)(de)(de)传播(bo)(bo)分布密度(du)(du)是(shi)与信(xin)(xin)息化程度(du)(du)成正比(bi)的(de)(de)(de)(de),即信(xin)(xin)息化技术(shu)程度(du)(du)越高的(de)(de)(de)(de)国(guo)家和(he)地区(qu)(qu),其恶(e)(e)意(yi)(yi)代(dai)码的(de)(de)(de)(de)感(gan)(gan)(gan)染(ran)范(fan)围(wei)越大(da);而信(xin)(xin)息化技术(shu)程度(du)(du)非(fei)常(chang)弱或者是(shi)非(fei)常(chang)地广(guang)人稀的(de)(de)(de)(de)国(guo)家和(he)地区(qu)(qu),如图中(zhong)非(fei)洲、俄罗斯靠东及南美的(de)(de)(de)(de)部分区(qu)(qu)域,其恶(e)(e)意(yi)(yi)代(dai)码的(de)(de)(de)(de)感(gan)(gan)(gan)染(ran)范(fan)围(wei)就较小(xiao),甚(shen)至没有被感(gan)(gan)(gan)染(ran)。这就是(shi)在(zai)无定(ding)向(xiang)性时(shi)代(dai)的(de)(de)(de)(de)蠕(ru)虫(chong)传播(bo)(bo)情况(kuang)(kuang)。
 
 
图1-1 Slammer发作30分钟感染范围示意图

 
       图1-2是另一(yi)个(ge)厂商(shang)发布的(de)(de)Stuxnet早(zao)期感染(ran)范(fan)围示意(yi)图,从图中我们可(ke)以看出全(quan)球基本(ben)上是一(yi)片绿色(se),而(er)Stuxnet整个(ge)的(de)(de)感染(ran)范(fan)围积聚于中东地带,并(bing)可(ke)能与某种(zhong)地缘(yuan)性影响相关(guan)(guan),顺带感染(ran)了沿着印度洋到太平洋、赤道(dao)的(de)(de)这条线乃至整个(ge)东南亚群(qun)岛一(yi)线。这就说明在APT时代(dai)整个(ge)恶(e)意(yi)代(dai)码的(de)(de)分布不再与信息(xi)(xi)化(hua)程度相关(guan)(guan),而(er)是与它初始投放(fang)的(de)(de)目标息(xi)(xi)息(xi)(xi)相关(guan)(guan)。

 

  图1-2 Stuxnet早期感染范围示意图
 
       当(dang)然(ran)在(zai)(zai)蠕虫时(shi)代(dai)(dai)也(ye)存在(zai)(zai)一(yi)(yi)些定(ding)向(xiang)性(xing)(xing)的(de)(de)(de)案(an)例(li),比如我们之前(qian)提到的(de)(de)(de)CodeRed就是(shi)(shi)(shi)一(yi)(yi)个具(ju)(ju)有(you)定(ding)向(xiang)性(xing)(xing)的(de)(de)(de)案(an)例(li)。比如为什么在(zai)(zai)CodeRedI出(chu)(chu)现时(shi)国内并没(mei)有(you)很关注,而(er)在(zai)(zai)CodeRedII出(chu)(chu)现时(shi)才(cai)开(kai)始关注呢?据推测CodeRed可(ke)能是(shi)(shi)(shi)由中(zhong)国的(de)(de)(de)网络攻击者所写的(de)(de)(de)病毒,当(dang)时(shi)采取的(de)(de)(de)策略(lve)是(shi)(shi)(shi)如果(guo)发(fa)现是(shi)(shi)(shi)中(zhong)文(wen)系统(tong)则(ze)停止传播(bo),发(fa)现是(shi)(shi)(shi)英文(wen)系统(tong)则(ze)继续传播(bo),因此(ci)在(zai)(zai)当(dang)时(shi)的(de)(de)(de)情(qing)况下,CodeRed基本是(shi)(shi)(shi)在(zai)(zai)境外(wai)活跃,就没(mei)有(you)引(yin)起国内的(de)(de)(de)重(zhong)视。而(er)据传这个恶意代(dai)(dai)码后来被一(yi)(yi)个荷兰(lan)的(de)(de)(de)黑客组(zu)(zu)织进行(xing)了(le)修改,使(shi)(shi)其在(zai)(zai)英文(wen)系统(tong)上(shang)以300个线程(cheng)传播(bo),而(er)到中(zhong)文(wen)系统(tong)上(shang),传播(bo)的(de)(de)(de)线程(cheng)数则(ze)增加一(yi)(yi)倍(bei),导(dao)致其在(zai)(zai)国内的(de)(de)(de)传播(bo)范(fan)围(wei)和密度更大。虽然(ran)它同样实(shi)现了(le)一(yi)(yi)定(ding)意义上(shang)的(de)(de)(de)定(ding)向(xiang)性(xing)(xing),但是(shi)(shi)(shi)我们可(ke)以看(kan)到这种(zhong)定(ding)向(xiang)能力是(shi)(shi)(shi)非常(chang)粗粒(li)度的(de)(de)(de),仅是(shi)(shi)(shi)简(jian)单的(de)(de)(de)以语言集(ji)作为区限的(de)(de)(de)划分,而(er)不是(shi)(shi)(shi)现在(zai)(zai)APT时(shi)代(dai)(dai)中(zhong),以一(yi)(yi)种(zhong)非常(chang)具(ju)(ju)体的(de)(de)(de)目标(biao)(biao)状态(tai)来判断,使(shi)(shi)用(yong)多标(biao)(biao)志组(zu)(zu)合和远(yuan)程(cheng)验(yan)证服务来综合判定(ding)是(shi)(shi)(shi)否发(fa)作的(de)(de)(de)情(qing)况。所以说从地点的(de)(de)(de)角度,蠕虫时(shi)代(dai)(dai)和APT时(shi)代(dai)(dai)具(ju)(ju)有(you)非常(chang)明显的(de)(de)(de)非定(ding)向(xiang)性(xing)(xing)与定(ding)向(xiang)性(xing)(xing)的(de)(de)(de)差(cha)异。
 
       1.3 对比之“人物”
 
       我们(men)再来看(kan)一(yi)下相(xiang)应(ying)的(de)(de)人(ren)物要素。在病毒(du)(du)与传统攻击时代(dai),类似(si)于CIH作(zuo)(zuo)(zuo)者(zhe)(陈盈豪(hao),中国(guo)(guo)(guo)台(tai)湾)、Melissa作(zuo)(zuo)(zuo)者(zhe)(Smith,美(mei)国(guo)(guo)(guo))、震荡波作(zuo)(zuo)(zuo)者(zhe)(Sven Jaschan,德国(guo)(guo)(guo))等一(yi)些病毒(du)(du)的(de)(de)作(zuo)(zuo)(zuo)者(zhe)和(he)(he)(he)攻击的(de)(de)始作(zuo)(zuo)(zuo)俑者(zhe),无(wu)一(yi)例外的(de)(de)都有一(yi)个共同(tong)的(de)(de)特点,就是他们(men)都被(bei)司法(fa)打击、被(bei)追责、被(bei)发现和(he)(he)(he)被(bei)定(ding)位(wei)。虽然有大(da)量经(jing)典的(de)(de)危害甚多的(de)(de)恶意(yi)代(dai)码(ma),但一(yi)般来说只要整(zheng)个社(she)(she)会(hui)的(de)(de)应(ying)急响应(ying)能力和(he)(he)(he)社(she)(she)会(hui)的(de)(de)司法(fa)机构(gou)愿意(yi)承受其代(dai)价(jia),只要国(guo)(guo)(guo)际应(ying)急协(xie)同(tong)和(he)(he)(he)司法(fa)互动机制正(zheng)常运转,基本上都可以将病毒(du)(du)作(zuo)(zuo)(zuo)者(zhe)和(he)(he)(he)病毒(du)(du)的(de)(de)释放者(zhe)定(ding)位(wei)并绳之以法(fa)。
 
       而(er)(er)在APT时(shi)(shi)代,到目前为止在我们已(yi)知的(de)(de)(de)(de)具(ju)有(you)鲜(xian)明的(de)(de)(de)(de)国(guo)家(jia)和(he)(he)政治(zhi)集团色(se)(se)彩的(de)(de)(de)(de)APT攻击中,究竟有(you)哪一(yi)个被惩罚了(le)呢(ni),谁是(shi)(shi)(shi)元凶,我们可(ke)(ke)能(neng)定(ding)位到具(ju)体(ti)(ti)的(de)(de)(de)(de)人(ren)吗(ma)?可(ke)(ke)能(neng)定(ding)位到具(ju)体(ti)(ti)的(de)(de)(de)(de)组(zu)织吗(ma)?以(yi)(yi)Stuxnet事(shi)件为例,从媒体(ti)(ti)报道和(he)(he)公众猜测上来看(kan),最开始(shi)美(mei)国(guo)媒体(ti)(ti)说,这(zhei)可(ke)(ke)能(neng)是(shi)(shi)(shi)以(yi)(yi)色(se)(se)列干的(de)(de)(de)(de),以(yi)(yi)色(se)(se)列媒体(ti)(ti)说,这(zhei)可(ke)(ke)能(neng)是(shi)(shi)(shi)美(mei)国(guo)干的(de)(de)(de)(de),后来又有(you)所(suo)(suo)谓(wei)“深喉”出来讲(jiang)这(zhei)件事(shi)是(shi)(shi)(shi)美(mei)以(yi)(yi)双(shuang)方共同做的(de)(de)(de)(de)(根据一(yi)些媒体(ti)(ti)推(tui)测,“泄(xie)密”可(ke)(ke)能(neng)是(shi)(shi)(shi)由于奥(ao)巴马方面出于选(xuan)(xuan)情考虑(lv),在大(da)选(xuan)(xuan)前树立强势(shi)风格的(de)(de)(de)(de)需(xu)要)。但(dan)这(zhei)个事(shi)情的(de)(de)(de)(de)受(shou)害者(zhe)能(neng)去通缉两个对等(deng)的(de)(de)(de)(de)或者(zhe)敌对的(de)(de)(de)(de)国(guo)家(jia)吗(ma),这(zhei)是(shi)(shi)(shi)不可(ke)(ke)能(neng)的(de)(de)(de)(de)。所(suo)(suo)以(yi)(yi)说整个APT时(shi)(shi)代的(de)(de)(de)(de)时(shi)(shi)间、地点和(he)(he)人(ren)物观(guan),与传(chuan)统的(de)(de)(de)(de)病毒(du)时(shi)(shi)代相(xiang)比都发生(sheng)了(le)巨(ju)大(da)的(de)(de)(de)(de)变化,引发这(zhei)种巨(ju)大(da)变化的(de)(de)(de)(de)根本背景是(shi)(shi)(shi)“大(da)玩家(jia)”的(de)(de)(de)(de)入场,而(er)(er)所(suo)(suo)谓(wei)的(de)(de)(de)(de)“大(da)玩家(jia)”就是(shi)(shi)(shi)国(guo)家(jia)和(he)(he)政治(zhi)利益集团。
 
       2 、回看传统反病毒
 
       前面介(jie)绍(shao)了APT时代相对(dui)于传(chuan)统病毒时代的要素变化,现(xian)在我们(men)再(zai)回看一下传(chuan)统反病毒的体制。
 
       2.1 传统反病毒的基础架构
 
       图2-1是安天自己的ArrectNET监控捕获处理体制,这是比较传统的体系架构,在恶意代码整个的分析流水线中最重要的两个要素:一个是前端的捕获,一个是后端的分析,而在这里APT很重要的一点影响就是“捕获”。在过去,捕获有很多立体的手段,有流量捕获、诱饵信箱、现场采集、也有国际和国内的兄弟厂商之间的样本交换、还有用户主动上报。我们认为每一种手段都有其缺点和优点,包括最为主动的流量采集、蜜罐手段,虽然能够在第一时间获得样本,解决样本的实时性问题,但是其数量小、代价大,在云时代到来后,几乎已经没有人否认终端自动上报才是最优手段。

       我们当时也对各种样本上报通道做了一个性质上的拆解:

 
         从来源类型上,我们把所有的样本获取通道分成可控通道与不可控通道,所谓的可控通道,是指AV厂商本身对整个通道有完全的策略管理和完整的数据回收能力,即厂商可以随时接入和随时获取,而其他的方式都属于不可控通道。
        从样本质量上,我们把样本拆解为多个维度,包括实时性(即在第一时间获取样本)、全面性(即完整获取样本所有模块)、完整性(即样本文件是否完好,没有破损)等等。
       基(ji)于这种拆解我们(men)定义了最(zui)开始的(de)捕获(huo)体(ti)系图,但在APT时(shi)(shi)代,由于我们(men)对跨年度的(de)恶意代码(ma)都(dou)无法及(ji)时(shi)(shi)感知,其实就是传统反病毒体(ti)系的(de)获(huo)取(qu)实时(shi)(shi)性(xing)首先(xian)遭到了挑战。

 

  图2-1传统反病毒的基础架构

 
       2.2 传统反病毒的工作机理
 
       从(cong)整个(ge)反(fan)病毒(du)核心工(gong)作机(ji)理的角度,实际上我们可以把反(fan)病毒(du)体系概(gai)括为(wei)一个(ge)工(gong)作流程(cheng)(cheng),将整个(ge)流程(cheng)(cheng)的模(mo)型抽象拆解(jie)为(wei)以格式识别为(wei)先导,由匹配器(qi)、预处理器(qi)、鉴定器(qi)和(he)处置器(qi)构成的若干分(fen)支的结(jie)合。

 
 
图2-2传统反病毒机理的模型抽象


 
       我们可以将传统反(fan)病毒的模(mo)型维(wei)护(hu)分成(cheng)三(san)部分,包括归一化体系的维(wei)护(hu),精确检测的维(wei)护(hu),以及未知(zhi)检测的维(wei)护(hu)。
 

  图2-3传统反病毒的模型维护
 
       归(gui)一(yi)化(hua)(hua)(hua)体系的(de)维护(hu)是指当前的(de)反病毒引擎基本上是以文件格(ge)(ge)(ge)式(shi)为先导,由(you)若干个归(gui)一(yi)化(hua)(hua)(hua)分(fen)支(zhi)来构成(cheng)。相当于在过去病毒与恶意代码(ma)(ma)辨识对(dui)抗阶段时(shi)的(de)“穿(chuan)透(tou)”,当时(shi)我们认(ren)为它有(you)(you)两种穿(chuan)透(tou)方式(shi):第(di)(di)一(yi)种叫规则(ze)穿(chuan)透(tou),即恶意代码(ma)(ma)不(bu)被既有(you)(you)规则(ze)所(suo)命中;第(di)(di)二种叫归(gui)一(yi)化(hua)(hua)(hua)穿(chuan)透(tou),即恶意代码(ma)(ma)无法(fa)进入当前的(de)各个检测分(fen)支(zhi),或者(zhe)使(shi)检测分(fen)支(zhi)失效。比(bi)如说在PDF格(ge)(ge)(ge)式(shi)溢(yi)出(chu)(chu)(chu)出(chu)(chu)(chu)现之前,反病毒软件可(ke)能不(bu)识别(bie)PDF格(ge)(ge)(ge)式(shi),或者(zhe)作为无毒格(ge)(ge)(ge)式(shi)跳过,PDF格(ge)(ge)(ge)式(shi)溢(yi)出(chu)(chu)(chu)的(de)出(chu)(chu)(chu)现就(jiu)不(bu)是简单(dan)的(de)检测规则(ze)穿(chuan)透(tou),而是归(gui)一(yi)化(hua)(hua)(hua)穿(chuan)透(tou),因为需要添加新的(de)格(ge)(ge)(ge)式(shi)解析方法(fa)和归(gui)一(yi)化(hua)(hua)(hua)分(fen)支(zhi)。所(suo)以传统(tong)反病毒的(de)模型(xing)维护(hu)一(yi)定先有(you)(you)一(yi)个归(gui)一(yi)化(hua)(hua)(hua)维护(hu)的(de)部分(fen),而这(zhei)部分(fen)就(jiu)是一(yi)个通过新的(de)格(ge)(ge)(ge)式(shi)特征(zheng)建(jian)立新归(gui)一(yi)化(hua)(hua)(hua)分(fen)支(zhi)的(de)过程。
 
       第二(er)部分(fen)就是(shi)精确规(gui)则检测部分(fen),即其是(shi)一对(dui)一规(gui)则提(ti)取或者(zhe)有一定涵盖(gai)性规(gui)则提(ti)取的样本,是(shi)针对(dui)恶(e)意代码个体(ti)(ti)或者(zhe)少量聚集(ji)群(qun)体(ti)(ti)的样本集(ji)合的规(gui)则检测。
 
       在(zai)精确规则检测之(zhi)上还有(you)(you)(you)一个(ge)层(ceng)次,就是(shi)我们(men)原(yuan)有(you)(you)(you)的未(wei)知(zhi)检测。在(zai)此我要(yao)纠正公(gong)众对反(fan)病毒(du)软件(jian)的两种(zhong)(zhong)误解(jie):第一种(zhong)(zhong)误解(jie)是(shi)很多人认为(wei)反(fan)病毒(du)就是(shi)一对一的检测,是(shi)没有(you)(you)(you)未(wei)知(zhi)检测方法的,对现(xian)有(you)(you)(you)反(fan)病毒(du)体系来(lai)说(shuo)未(wei)知(zhi)病毒(du)是(shi)不可检测的,AV厂商(shang)没有(you)(you)(you)做未(wei)知(zhi)检测的工作,很多粗糙的学术论文都用这种(zhong)(zhong)观点(dian)攻(gong)击(ji)AVER业界,以证(zheng)明自己成果(guo)的价(jia)值。而第二(er)种(zhong)(zhong)误解(jie)是(shi)有(you)(you)(you)人认为(wei)反(fan)病毒(du)就应该什么都能(neng)(neng)检测出来(lai),应该是(shi)万能(neng)(neng)的,检测不出来(lai)就是(shi)无能(neng)(neng)的,或(huo)者认为(wei)反(fan)病毒(du)是(shi)存在(zai)某些(xie)终极(ji)检测方法的,这也是(shi)一类误解(jie)。
 
       实际上(shang)AVER在(zai)未知(zhi)检(jian)(jian)测(ce)上(shang)的(de)(de)(de)工(gong)作(zuo)包含了(le)(le)三部(bu)分(fen):第(di)一部(bu)分(fen)是(shi)基(ji)(ji)于(yu)相近基(ji)(ji)因(yin)片段的(de)(de)(de)关联性聚合形成家(jia)族特征(zheng);第(di)二部(bu)分(fen)是(shi)基(ji)(ji)于(yu)共有的(de)(de)(de)行(xing)为(wei)聚合形成行(xing)为(wei)特征(zheng)。这(zhei)两部(bu)分(fen)分(fen)别形成了(le)(le)基(ji)(ji)因(yin)关联型家(jia)族和(he)行(xing)为(wei)关联型家(jia)族的(de)(de)(de)通用检(jian)(jian)测(ce)方(fang)式(shi)。而第(di)三部(bu)分(fen)是(shi)通过增减修(xiu)改启发式(shi)的(de)(de)(de)判定点、对其的(de)(de)(de)配置(zhi)调(diao)整和(he)模型调(diao)整,来改善启发式(shi)检(jian)(jian)测(ce)的(de)(de)(de)能力。这(zhei)些工(gong)作(zuo)都(dou)是(shi)AV厂(chang)商很(hen)早以来就在(zai)做的(de)(de)(de)工(gong)作(zuo),AVER的(de)(de)(de)先(xian)行(xing)者们,在(zai)DOS病毒(du)时(shi)代已经打下了(le)(le)这(zhei)些工(gong)作(zuo)的(de)(de)(de)基(ji)(ji)础,这(zhei)些工(gong)作(zuo)不(bu)应被(bei)神(shen)化、也(ye)不(bu)应被(bei)视而不(bu)见。我们只是(shi)说,这(zhei)个粒度的(de)(de)(de)工(gong)作(zuo)应对APT必然是(shi)不(bu)足的(de)(de)(de)。
 
       2.3 传统反病毒的真正软肋
 
       虽然(ran)AVER做了大(da)量的(de)(de)(de)(de)(de)工(gong)作,但目前(qian)的(de)(de)(de)(de)(de)这种(zhong)未知(zhi)检测工(gong)作仍是(shi)(shi)(shi)不(bu)足以应对(dui)(dui)APT攻击。传统(tong)反(fan)(fan)病(bing)毒(du)引擎的(de)(de)(de)(de)(de)根(gen)本(ben)软(ruan)(ruan)肋(lei)在(zai)于(yu)(yu)它(ta)(ta)是(shi)(shi)(shi)一(yi)种(zhong)易(yi)于(yu)(yu)获(huo)得(de)的(de)(de)(de)(de)(de)安(an)全资源,比如我们访(fang)问download.com站(zhan)点(dian)(dian),我们通(tong)过(guo)antivirus关键词检索到(dao)562个(ge)结(jie)果,都是(shi)(shi)(shi)各种(zhong)主流的(de)(de)(de)(de)(de)反(fan)(fan)病(bing)毒(du)软(ruan)(ruan)件和他们一(yi)些(xie)不(bu)同版(ban)本(ben)的(de)(de)(de)(de)(de)下载。反(fan)(fan)病(bing)毒(du)的(de)(de)(de)(de)(de)软(ruan)(ruan)肋(lei)就(jiu)(jiu)在(zai)于(yu)(yu)此,它(ta)(ta)本(ben)来(lai)就(jiu)(jiu)是(shi)(shi)(shi)一(yi)个(ge)服务于(yu)(yu)大(da)众(zhong)的(de)(de)(de)(de)(de)产品,因此它(ta)(ta)必然(ran)是(shi)(shi)(shi)一(yi)种(zhong)很容易(yi)获(huo)得(de)的(de)(de)(de)(de)(de)资源,它(ta)(ta)必然(ran)无(wu)法对(dui)(dui)抗(kang)(kang)持续的(de)(de)(de)(de)(de)修改(gai)。而基(ji)于(yu)(yu)这个(ge)软(ruan)(ruan)肋(lei),当(dang)前(qian)整(zheng)个(ge)攻方(fang)的(de)(de)(de)(de)(de)工(gong)作效率已经比逐个(ge)安(an)装测试(shi)提升了一(yi)个(ge)高度,多引擎扫(sao)描已经成为(wei)非常成熟的(de)(de)(de)(de)(de)工(gong)程化方(fang)法,不(bu)仅有(you)像VirusTotal、VirSCAN这种(zhong)在(zai)线(xian)服务站(zhan)点(dian)(dian),国外还有(you)多个(ge)厂商推出(chu)大(da)的(de)(de)(de)(de)(de)黑匣(xia)子服务器(qi),就(jiu)(jiu)是(shi)(shi)(shi)在(zai)这样的(de)(de)(de)(de)(de)一(yi)个(ge)背景(jing)下来(lai)作为(wei)APT与传统(tong)反(fan)(fan)病(bing)毒(du)引擎对(dui)(dui)抗(kang)(kang)的(de)(de)(de)(de)(de)前(qian)导。同时由于(yu)(yu)APT有(you)长期(qi)的(de)(de)(de)(de)(de)外调和踩点(dian)(dian)过(guo)程,它(ta)(ta)并不(bu)需(xu)要对(dui)(dui)抗(kang)(kang)所有(you)的(de)(de)(de)(de)(de)反(fan)(fan)病(bing)毒(du)软(ruan)(ruan)件,它(ta)(ta)只需(xu)要对(dui)(dui)抗(kang)(kang)指定场景(jing)中所安(an)装的(de)(de)(de)(de)(de)反(fan)(fan)病(bing)毒(du)软(ruan)(ruan)件即可(ke)。
 
       总结一下:正是因为反(fan)病(bing)毒(du)软(ruan)件易于(yu)获(huo)得,所以其易于(yu)被前导测试,导致其成为了反(fan)病(bing)毒(du)的根本(ben)(ben)软(ruan)肋,也就是反(fan)病(bing)毒(du)不可能对抗APT的根本(ben)(ben)原因。
 
  进步与慌乱
 
       在(zai)这些年里,反病(bing)毒业(ye)界也在(zai)一直前进,基本可以概括(kuo)为以下几点:
 
       1. 云查杀
 
       回顾云(yun)(yun)查杀(sha)的(de)(de)(de)(de)发展,它并不是AVER非常(chang)主(zhu)动地把(ba)云(yun)(yun)的(de)(de)(de)(de)方法应用于(yu)反病毒体制,而由(you)于(yu)其最先遇(yu)到了规(gui)(gui)则(包括黑名单(dan)和(he)白名单(dan))膨胀考验,这种规(gui)(gui)则膨胀是客(ke)户端(duan)资源难以承载的(de)(de)(de)(de),同时在(zai)恶意代(dai)码本身的(de)(de)(de)(de)快(kuai)速(su)改造变(bian)形(xing)能力(li)已(yi)经非常(chang)强,使原(yuan)有通(tong)过高频度的(de)(de)(de)(de)发放病毒库(ku),然(ran)后本地再初始化(hua)的(de)(de)(de)(de)模式已(yi)经变(bian)得不够及(ji)时的(de)(de)(de)(de)情况(kuang)下(xia),产生了基于(yu)反病毒响(xiang)应流程的(de)(de)(de)(de)时效性和(he)客(ke)户体验的(de)(de)(de)(de)改进需求。我(wo)们从最终结果来看,云(yun)(yun)查杀(sha)的(de)(de)(de)(de)前导是由(you)于(yu)把(ba)海量的(de)(de)(de)(de)数据(ju)置于(yu)云(yun)(yun)端(duan),使其在(zai)网(wang)络带宽获得保证的(de)(de)(de)(de)情况(kuang)下(xia)节省了终端(duan)宝贵的(de)(de)(de)(de)内(nei)存和(he)计算(suan)资源,同时由(you)于(yu)云(yun)(yun)端(duan)的(de)(de)(de)(de)规(gui)(gui)则是数据(ju)库(ku)级别的(de)(de)(de)(de),解(jie)决了实时响(xiang)应和(he)误报(bao)的(de)(de)(de)(de)快(kuai)速(su)修补问(wen)题。而后才逐渐把(ba)云(yun)(yun)查杀(sha)的(de)(de)(de)(de)种种实践基础逐渐发展成为信誉云(yun)(yun)或鉴定云(yun)(yun)。
 
       2. 程序信誉
 
       这(zhei)个概念与传(chuan)统的(de)(de)厂商数(shu)字签名(ming)机制相关,又融合进了反(fan)病毒的(de)(de)行为受信(xin)等(deng)级制,信(xin)任(ren)有数(shu)字签名(ming)的(de)(de)程(cheng)序(xu),这(zhei)是(shi)(shi)安全(quan)产业职(zhi)责(ze)分(fen)工的(de)(de)结果,同时(shi)(shi)安全(quan)厂商也(ye)有其本身(shen)建设的(de)(de)一(yi)(yi)套体(ti)系。比如一(yi)(yi)些(xie)“寄生型”AV厂商基(ji)本是(shi)(shi)靠“后台对照扫(sao)描+前台全(quan)HASH”检(jian)测实现(xian)的(de)(de),这(zhei)种(zhong)程(cheng)序(xu)的(de)(de)信(xin)誉(yu)观就(jiu)是(shi)(shi)一(yi)(yi)段时(shi)(shi)间内(比如三个月)没有任(ren)何引擎报警的(de)(de)文件进准白(bai)名(ming)单,准白(bai)名(ming)单更(geng)长时(shi)(shi)间(比如一(yi)(yi)年)再扫(sao)一(yi)(yi)遍,发现(xian)是(shi)(shi)黑的(de)(de)再追加回黑名(ming)单中。但如果有用(yong)户在论坛(tan)举报其误(wu)报、漏报,则进入人工分(fen)析快速应对,这(zhei)是(shi)(shi)基(ji)于(yu)互联网的(de)(de)交互响应,以用(yong)户的(de)(de)反(fan)馈(kui)响应来进行解决的(de)(de)流程(cheng),但也(ye)是(shi)(shi)程(cheng)序(xu)信(xin)誉(yu)的(de)(de)一(yi)(yi)种(zhong)建立方法。
 
       3. URL
 
       过(guo)去我(wo)们是以单(dan)一(yi)(yi)(yi)(yi)文件为工作(zuo)对(dui)象,加入URL后(hou)就引(yin)入两个(ge)(ge)(ge)概念:第一(yi)(yi)(yi)(yi)个(ge)(ge)(ge)就是源(yuan),即这个(ge)(ge)(ge)程(cheng)序是从哪里来的(de)(de),它的(de)(de)源(yuan)是不是可信的(de)(de);第二(er)个(ge)(ge)(ge)是复(fu)合验(yan)证(zheng),即把源(yuan)的(de)(de)安(an)全(quan)性(xing)验(yan)证(zheng)和文件的(de)(de)安(an)全(quan)性(xing)验(yan)证(zheng)做了(le)一(yi)(yi)(yi)(yi)个(ge)(ge)(ge)复(fu)合,形(xing)成一(yi)(yi)(yi)(yi)个(ge)(ge)(ge)闭环,通(tong)过(guo)文件判定URL的(de)(de)安(an)全(quan)性(xing),通(tong)过(guo)URL的(de)(de)安(an)全(quan)级(ji)别(bie)(bie)推广到(dao)目(mu)录的(de)(de)安(an)全(quan)级(ji)别(bie)(bie),到(dao)子站的(de)(de)安(an)全(quan)级(ji)别(bie)(bie),再到(dao)主(zhu)域名的(de)(de)安(an)全(quan)级(ji)别(bie)(bie)。
 
       4. 主动防御
 
       其采用(yong)了(le)一(yi)些规则外手段,比如对(dui)内存喷射的检(jian)测和保护(hu)、比如对(dui)所有来源为互(hu)联网(wang)的PE执行都(dou)予(yu)以强提示或(huo)者(zhe)拦截等等。
 
       上面这(zhei)些手段是近(jin)5~7年来(lai)(lai)反(fan)病毒(du)技术(shu)并没有停滞的象征(zheng),从传统反(fan)病毒(du)的角(jiao)度来(lai)(lai)讲(jiang)它们是在进步的,但是回头来(lai)(lai)看它相对于APT是非常慌乱的。
 
       3、 APT给AVER的困扰点
 
       基于(yu)之前讲的(de)这些,我们再来看看APT给反病毒(du)工作者们的(de)几个困扰点。
 
       3.1 APT颠覆之模式
 
       APT是(shi)(shi)一(yi)种模式颠(dian)覆,它颠(dian)覆不仅(jin)是(shi)(shi)反(fan)病毒的(de)(de)模式,而是(shi)(shi)整个信息(xi)安(an)全(quan)的(de)(de)模式。比如说Stuxnet的(de)(de)程序数字(zi)签名(ming)(ming)是(shi)(shi)使(shi)(shi)用(yong)Realtek的(de)(de),Duqu则使(shi)(shi)用(yong)的(de)(de)是(shi)(shi)C-Media的(de)(de),都算是(shi)(shi)主流厂商(shang)。为什么(me)过去的(de)(de)反(fan)病毒软件要信任(ren)具有数字(zi)签名(ming)(ming)的(de)(de)程序呢(ni)?这(zhei)说明整个信息(xi)安(an)全(quan)体(ti)系是(shi)(shi)存在分工的(de)(de),对(dui)于(yu)黑名(ming)(ming)单的(de)(de)检测主要由(you)反(fan)病毒厂商(shang)负责,对(dui)于(yu)白名(ming)(ming)单的(de)(de)信用(yong)主要由(you)CA认证机构证书(shu)厂商(shang)负责,而开(kai)发者要对(dui)自(zi)己的(de)(de)证书(shu)签发环境的(de)(de)安(an)全(quan)负责。
 
       在过(guo)去(qu)一系列(lie)的(de)(de)(de)(de)APT和相关的(de)(de)(de)(de)攻击中,整个(ge)的(de)(de)(de)(de)信息(xi)安全(quan)的(de)(de)(de)(de)程序信誉(yu)体系链条开始崩塌:“RSA被入(ru)(ru)侵(qin)(qin),用于生成电子(zi)令(ling)牌的(de)(de)(de)(de)随(sui)机数种(zhong)子(zi)被窃取(qu),导致需要召回4000万个(ge)电子(zi)令(ling)牌,而且此事件间(jian)接导致了美国(guo)几个(ge)相关军工和重要工业厂(chang)商被入(ru)(ru)侵(qin)(qin);荷兰CA被入(ru)(ru)侵(qin)(qin),最终倒闭。”电子(zi)认证机构自己尚且如此,更不要说证书用户(hu)签名(ming)环境的(de)(de)(de)(de)安全(quan)了,可以看(kan)出这是(shi)一个(ge)上游的(de)(de)(de)(de)崩溃。我们的(de)(de)(de)(de)困扰在于它不只(zhi)颠覆了我们的(de)(de)(de)(de)价值规律和链条,而是(shi)颠覆了整个(ge)原有的(de)(de)(de)(de)信息(xi)安全(quan)的(de)(de)(de)(de)分工体系。
 
       3.2 APT颠覆之捕获
 
       之(zhi)前我(wo)们讲到了传统反病(bing)毒的(de)(de)(de)(de)(de)(de)捕获(huo)方式,包含了多种工作,但(dan)是(shi)(shi)在(zai)APT时(shi)代(dai)这(zhei)(zhei)些(xie)(xie)捕获(huo)方式都(dou)(dou)几(ji)近失(shi)效。回顾之(zhi)前的(de)(de)(de)(de)(de)(de)Stuxnet事件,最先在(zai)伊(yi)朗(lang)传播(bo),伊(yi)朗(lang)没(mei)(mei)有一(yi)些(xie)(xie)反病(bing)毒厂(chang)(chang)商(shang)的(de)(de)(de)(de)(de)(de)用户(hu),而恶意代(dai)码(ma)又是(shi)(shi)高度定向(xiang)的(de)(de)(de)(de)(de)(de),所以当它的(de)(de)(de)(de)(de)(de)投放(fang)位置在(zai)这(zhei)(zhei)些(xie)(xie)厂(chang)(chang)商(shang)可捕获(huo)地域之(zhi)外,这(zhei)(zhei)些(xie)(xie)厂(chang)(chang)商(shang)将无(wu)法捕获(huo)。再比(bi)如说(shuo)Flame是(shi)(shi)卡(ka)(ka)巴斯(si)基(ji)最先关注和报导(dao)的(de)(de)(de)(de)(de)(de),但(dan)它不(bu)是(shi)(shi)卡(ka)(ka)巴斯(si)基(ji)主动发(fa)现的(de)(de)(de)(de)(de)(de),而是(shi)(shi)由(you)(you)一(yi)个沙特的(de)(de)(de)(de)(de)(de)用户(hu)主动联系的(de)(de)(de)(de)(de)(de)卡(ka)(ka)巴斯(si)基(ji),这(zhei)(zhei)就(jiu)又回到了原始的(de)(de)(de)(de)(de)(de)数据上(shang)报时(shi)代(dai)。从过(guo)去(qu)来看,厂(chang)(chang)商(shang)之(zhi)间本来可能呈现某种对(dui)(dui)称性:第(di)一(yi),传统恶意代(dai)码(ma)传播(bo)并没(mei)(mei)有绝对(dui)(dui)的(de)(de)(de)(de)(de)(de)定向(xiang)性,而是(shi)(shi)依靠一(yi)定的(de)(de)(de)(de)(de)(de)范围(wei)的(de)(de)(de)(de)(de)(de)覆盖,比(bi)如说(shuo),无(wu)论大(da)厂(chang)(chang)商(shang)拥有多达几(ji)个亿的(de)(de)(de)(de)(de)(de)装(zhuang)机量,还是(shi)(shi)小厂(chang)(chang)商(shang)几(ji)十万(wan)的(de)(de)(de)(de)(de)(de)装(zhuang)机量,都(dou)(dou)可能将其捕获(huo);第(di)二(er),由(you)(you)于厂(chang)(chang)商(shang)之(zhi)间的(de)(de)(de)(de)(de)(de)交换关系,弥补了厂(chang)(chang)商(shang)覆盖能力(li)的(de)(de)(de)(de)(de)(de)不(bu)足。但(dan)在(zai)APT时(shi)代(dai),前者(zhe)被(bei)高度定向(xiang)性干扰了,后者(zhe)会不(bu)会受到国家(jia)背(bei)景因素(su)的(de)(de)(de)(de)(de)(de)制约(yue),我(wo)们还不(bu)得而知。
 
       3.3 APT颠覆之隐私
 
       但即使(shi)厂(chang)商(shang)(shang)的(de)(de)(de)(de)(de)产(chan)品覆盖了遭(zao)遇APT攻击(ji)的(de)(de)(de)(de)(de)用户,厂(chang)商(shang)(shang)就一(yi)定能感知(zhi)(zhi)到(dao)攻击(ji)么?因为(wei)(wei)这不(bu)是(shi)(shi)(shi)(shi)一(yi)个(ge)简单(dan)的(de)(de)(de)(de)(de)问题,首(shou)先是(shi)(shi)(shi)(shi)感知(zhi)(zhi)器(qi)是(shi)(shi)(shi)(shi)否存在(zai);其次是(shi)(shi)(shi)(shi)有了感知(zhi)(zhi)器(qi)厂(chang)商(shang)(shang)有没(mei)有权利获取。APT很多(duo)是(shi)(shi)(shi)(shi)以复合(he)文(wen)档格式(shi)溢出为(wei)(wei)先导,无论(lun)是(shi)(shi)(shi)(shi)RSA SecurID被(bei)窃取,还是(shi)(shi)(shi)(shi)Google被(bei)入侵等事件,很多(duo)都(dou)是(shi)(shi)(shi)(shi)以复合(he)文(wen)档格式(shi)解析0-Day漏洞(dong)的(de)(de)(de)(de)(de),是(shi)(shi)(shi)(shi)在(zai)反(fan)病(bing)(bing)毒本身的(de)(de)(de)(de)(de)已知(zhi)(zhi)检测环境中检测不(bu)到(dao)的(de)(de)(de)(de)(de),即使(shi)反(fan)病(bing)(bing)毒产(chan)品或者感知(zhi)(zhi)器(qi)能部署在(zai)获取样(yang)本的(de)(de)(de)(de)(de)位置,但因为(wei)(wei)文(wen)档类型的(de)(de)(de)(de)(de)文(wen)件肯(ken)定是(shi)(shi)(shi)(shi)比较敏感的(de)(de)(de)(de)(de),因此很难获得用户许可,因为(wei)(wei)这将(jiang)有可能成为(wei)(wei)一(yi)种泄密(mi)通道。
 
       3.4 APT颠覆之代价
 
       从APT时代开(kai)始(shi),反病毒厂商的(de)角色从初始(shi)的(de)单点防御或快速(su)查杀(sha)转(zhuan)化为要进行纵深分(fen)析(xi)(xi)(xi)。一般来(lai)看,APT在被分(fen)析(xi)(xi)(xi)时往往是(shi)已宣告得手(shou)之时,这时需要评估的(de)是(shi)其实际(ji)造成(cheng)的(de)损失和其整个(ge)(ge)的(de)工作记录。卡巴斯(si)基曾说(shuo)“Stuxnet样(yang)本(ben)共500K,我们用了几(ji)个(ge)(ge)月来(lai)分(fen)析(xi)(xi)(xi),那(nei)我们是(shi)否要用更长的(de)事件去分(fen)析(xi)(xi)(xi)20M的(de)Flame文件呢?”
 
       我(wo)们(men)(men)自己也有(you)一(yi)个例子,Stuxnet据说可以通过U盘传(chuan)播,我(wo)们(men)(men)也从代(dai)码里(li)读到遍(bian)历文件、拷贝文件的(de)(de)部(bu)分(fen),但为什(shen)么到环境中执行就(jiu)无(wu)法传(chuan)播,最后我(wo)们(men)(men)经过分(fen)析,证(zheng)明了(le)它是(shi)基于一(yi)个配置,其中与7个标(biao)志(zhi)位(wei)有(you)关,而在0xC8处的(de)(de)标(biao)志(zhi)位(wei)默认是(shi)关闭的(de)(de),也就(jiu)是(shi)说它默认是(shi)不进(jin)行U盘传(chuan)播的(de)(de),只有(you)把所有(you)标(biao)志(zhi)位(wei)全部(bu)适配的(de)(de)时(shi)候才能够进(jin)行传(chuan)播,当(dang)时(shi)这(zhei)个单点分(fen)析我(wo)们(men)(men)大概做了(le)一(yi)周时(shi)间(jian),那么整(zheng)个大的(de)(de)模块体系(xi)要分(fen)析多久呢(ni)?这(zhei)个代(dai)价(jia)我(wo)们(men)(men)是(shi)否能承受的(de)(de)起?这(zhei)就(jiu)是(shi)它的(de)(de)时(shi)间(jian)代(dai)价(jia)。
 
       我(wo)再回顾(gu)总结了一下我(wo)们(men)(men)在这3个蠕虫时代所做的工(gong)作,其中(zhong)(zhong)包括(kuo)基于综(zong)合分(fen)析,编(bian)写(xie)(xie)各(ge)种(zhong)文献16篇(pian),其中(zhong)(zhong)10篇(pian)已在网络/媒体上公开,另外还(hai)翻译各(ge)种(zhong)文献7篇(pian),我(wo)们(men)(men)累计人(ren)工(gong)分(fen)析样(yang)本文件近百个,提取网络检测规则(ze)多条;编(bian)写(xie)(xie)专杀(sha)工(gong)具(ju)一个;也制作了工(gong)控系(xi)统安全威胁实景模拟系(xi)统一套。
 
       我(wo)(wo)们(men)(men)从之(zhi)前(qian)Stuxnet 篇幅为(wei)14页(ye)的(de)(de)分析(xi)报(bao)告,到现在Flame百页(ye)级的(de)(de)分析(xi)报(bao)告,我(wo)(wo)们(men)(men)的(de)(de)分析(xi)投(tou)入已经不(bu)(bu)断增加;但(dan)当我(wo)(wo)们(men)(men)与(yu)国(guo)(guo)外(wai)厂(chang)商对比时(shi),依然(ran)发现差距(ju)巨大。虽然(ran)大家在样(yang)本的(de)(de)获取点上基(ji)本差不(bu)(bu)多(duo),但(dan)我(wo)(wo)们(men)(men)在后续的(de)(de)每一(yi)(yi)个(ge)(ge)分析(xi)阶段包括(kuo)论述核心(xin)(xin)过程、最后揭示(shi)核心(xin)(xin)原理(li)都比别人落后1个(ge)(ge)月到2个(ge)(ge)月的(de)(de)时(shi)间,这是(shi)一(yi)(yi)种(zhong)硬能力的(de)(de)不(bu)(bu)匹(pi)配(pei),一(yi)(yi)种(zhong)资源组织能力的(de)(de)不(bu)(bu)匹(pi)配(pei),一(yi)(yi)种(zhong)信息的(de)(de)不(bu)(bu)对称。所以我(wo)(wo)们(men)(men)必须承(cheng)认国(guo)(guo)内厂(chang)商与(yu)国(guo)(guo)外(wai)厂(chang)商存在这种(zhong)真实(shi)的(de)(de)差距(ju)。
 
       4 、应对与尝试
 
       基于以上(shang)的背景(jing)来看,我们做了(le)一(yi)些相应的应对和尝试。
 
       4.1 捕获/分析能力前置化
 
       关于APT我(wo)想我(wo)们需要重复(fu)强调一些观(guan)点。第一、不管是谁,在本身是隔离(li)内网的(de)(de)情(qing)况下,任(ren)何厂商(shang)都无法完整的(de)(de)覆盖相(xiang)应的(de)(de)需要保护(hu)的(de)(de)目(mu)标体(ti)系;第二、即使我(wo)们部(bu)署进去也不可能(neng)(neng)把(ba)大量的(de)(de)文件回传进行分析。所以在APT时代,我(wo)们从思(si)想上(shang)突破就是捕获(huo)/分析能(neng)(neng)力(li)前置(zhi)化(hua),即把(ba)厂商(shang)能(neng)(neng)力(li)前置(zhi)到用(yong)户(hu)(hu)端,通过前端搭(da)建私有(you)云(yun)和(he)配套(tao)分析设备的(de)(de)思(si)想,把(ba)厂商(shang)能(neng)(neng)力(li)转化(hua)为用(yong)户(hu)(hu)能(neng)(neng)力(li),把(ba)这种用(yong)户(hu)(hu)能(neng)(neng)力(li)变成销售给用(yong)户(hu)(hu)的(de)(de)产品。
 
       4.2 判定展开
 
       在(zai)(zai)这里整个(ge)引擎(qing)的(de)设(she)计细节(jie)将(jiang)存在(zai)(zai)哪(na)些变化(hua)呢?首先从两个(ge)鉴(jian)定的(de)角度(du)来看,传统的(de)反(fan)病毒(du)引擎(qing)的(de)报警(jing)(jing)原则是(shi)(shi)针对(dui)一(yi)个(ge)检测对(dui)象(xiang),在(zai)(zai)诸个(ge)判断模块给(ji)出的(de)多个(ge)结果中挑选出风险级(ji)最高的(de)结果,与报警(jing)(jing)阈值比较(jiao),如果高于阈值就(jiu)报警(jing)(jing)。但(dan)这个(ge)机制(zhi)本身是(shi)(shi)很(hen)(hen)容(rong)易受到攻(gong)方(fang)的(de)前期测试(shi)来对(dui)抗的(de)。因(yin)此我们(men)认(ren)为未来应对(dui)APT的(de)反(fan)病毒(du)引擎(qing)的(de)产(chan)品形态的(de)根本变化(hua)是(shi)(shi)谁能(neng)揭示(shi)更多的(de)信(xin)息(xi)细节(jie),谁就(jiu)优胜。因(yin)此我们(men)新(xin)的(de)静态鉴(jian)定器实(shi)际上(shang)是(shi)(shi)基于一(yi)个(ge)从白名单(dan)方(fang)法到黑名单(dan)方(fang)法的(de)信(xin)用(yong)(yong)鉴(jian)定过程,然(ran)后把几十个(ge)判定点(dian)的(de)命(ming)中结果完全体现并揭示(shi)给(ji)用(yong)(yong)户。我们(men)就(jiu)是(shi)(shi)认(ren)为在(zai)(zai)APT时代反(fan)病毒(du)很(hen)(hen)难靠(kao)自动(dong)化(hua)的(de)机制(zhi)保证重点(dian)用(yong)(yong)户的(de)安(an)全。
 
       4.3 分析方法的动静态结合
 
       在(zai)(zai)APT时代(dai)之前,动态(tai)(tai)检测已经(jing)不(bu)断被(bei)强(qiang)化(hua),但到APT时代(dai)之后(hou),静态(tai)(tai)的(de)(de)(de)(de)(de)(de)(de)作用(yong)会(hui)被(bei)重(zhong)新提(ti)起来(lai)(lai),因为只有在(zai)(zai)静态(tai)(tai)的(de)(de)(de)(de)(de)(de)(de)条件(jian)下(xia)是无条件(jian)的(de)(de)(de)(de)(de)(de)(de),而APT的(de)(de)(de)(de)(de)(de)(de)挑战,让重(zhong)点用(yong)户(hu)能愿意接受(shou)过去不(bu)能承担的(de)(de)(de)(de)(de)(de)(de)静态(tai)(tai)分(fen)析(xi)(xi)时间代(dai)价。在(zai)(zai)整个(ge)(ge)静态(tai)(tai)的(de)(de)(de)(de)(de)(de)(de)环境下(xia),我(wo)们强(qiang)化(hua)了(le)这(zhei)样的(de)(de)(de)(de)(de)(de)(de)响应过程,在(zai)(zai)APT的(de)(de)(de)(de)(de)(de)(de)体(ti)制下(xia),静态(tai)(tai)的(de)(de)(de)(de)(de)(de)(de)手(shou)段是可以强(qiang)化(hua)的(de)(de)(de)(de)(de)(de)(de)。动态(tai)(tai)分(fen)析(xi)(xi)很(hen)重(zhong)要(yao)的(de)(de)(de)(de)(de)(de)(de)一(yi)(yi)(yi)点是更准确的(de)(de)(de)(de)(de)(de)(de)解决了(le)格式(shi)化(hua)溢出的(de)(de)(de)(de)(de)(de)(de)问题(ti)。但国内(nei)(nei)用(yong)户(hu)有国内(nei)(nei)用(yong)户(hu)的(de)(de)(de)(de)(de)(de)(de)特点,比(bi)如WPS、比(bi)如Foxit阅(yue)读器,这(zhei)些也可能是溢出的(de)(de)(de)(de)(de)(de)(de)对象,这(zhei)个(ge)(ge)必(bi)须(xu)在(zai)(zai)设(she)计中考虑进去,整个(ge)(ge)的(de)(de)(de)(de)(de)(de)(de)动态(tai)(tai)分(fen)析(xi)(xi)环境要(yao)基于(yu)这(zhei)样的(de)(de)(de)(de)(de)(de)(de)场景(jing)去搭建(jian),然(ran)后(hou)发现相应的(de)(de)(de)(de)(de)(de)(de)格式(shi)溢出。从过去来(lai)(lai)看这(zhei)些深度的(de)(de)(de)(de)(de)(de)(de)动静态(tai)(tai)分(fen)析(xi)(xi)绝不(bu)在(zai)(zai)AV厂(chang)商(shang)交付(fu)给用(yong)户(hu)的(de)(de)(de)(de)(de)(de)(de)范围内(nei)(nei),是一(yi)(yi)(yi)个(ge)(ge)厂(chang)商(shang)后(hou)台环节(jie)。我(wo)们要(yao)把(ba)这(zhei)两个(ge)(ge)环节(jie)封装成一(yi)(yi)(yi)个(ge)(ge)盒(he)子(zi),把(ba)我(wo)们的(de)(de)(de)(de)(de)(de)(de)引擎变成一(yi)(yi)(yi)个(ge)(ge)具有分(fen)析(xi)(xi)能力的(de)(de)(de)(de)(de)(de)(de)系统(tong),销(xiao)售给用(yong)户(hu)。
 
       4.4 病毒档案的建立与教训
 
       我们(men)希望能够(gou)建立一个恶意代(dai)码档案(http://www.virusview.net),以给安(an)天引擎的(de)用户提供更多的(de)支持(chi),目前我们(men)已经上传(chuan)了大概110万篇。在(zai)此处我要讲一个教训(xun),那(nei)就是(shi)在(zai)动静态分析(xi)中(zhong)产生(sheng)的(de)大量信(xin)息实际(ji)是(shi)干(gan)扰项,是(shi)由分析(xi)环境、加载机理等产生(sheng)的(de),这些信(xin)息不能被有效(xiao)的(de)过滤,就很(hen)难对真正(zheng)的(de)个性信(xin)息予以关注。
 
       5 、APT检测我们还有很多路要走
 
       5.1 与场景的结合
 
       从数据结果分析上(shang)(shang)来看,我们(men)认为反病毒检测是(shi)(shi)分成多个层次(ci)的(de)。比如(ru)(ru)一个PE文(wen)(wen)件(jian)在网(wang)上(shang)(shang)传输(shu),它(ta)在邮(you)(you)件(jian)附(fu)件(jian)中(zhong)和(he)在HTTP上(shang)(shang)或在FTP上(shang)(shang)风(feng)(feng)(feng)险(xian)(xian)(xian)级是(shi)(shi)不同的(de),一般(ban)来看它(ta)有可能作为邮(you)(you)件(jian)附(fu)件(jian)的(de)风(feng)(feng)(feng)险(xian)(xian)(xian)是(shi)(shi)最(zui)高(gao)的(de),或者邮(you)(you)件(jian)附(fu)件(jian)含(han)在一个包裹(guo)里面的(de)风(feng)(feng)(feng)险(xian)(xian)(xian)是(shi)(shi)最(zui)高(gao)的(de)。传统的(de)文(wen)(wen)件(jian)风(feng)(feng)(feng)险(xian)(xian)(xian)或者未(wei)知(zhi)文(wen)(wen)件(jian)风(feng)(feng)(feng)险(xian)(xian)(xian)只(zhi)与(yu)(yu)(yu)文(wen)(wen)件(jian)内容(rong)相(xiang)关,有的(de)考虑(lv)到了与(yu)(yu)(yu)主机的(de)某些场(chang)景(jing)相(xiang)关,但如(ru)(ru)何有效而深(shen)入(ru)的(de)与(yu)(yu)(yu)网(wang)络(luo)的(de)场(chang)景(jing)关联起来,这是(shi)(shi)后(hou)续要(yao)注(zhu)意的(de)。
 
       5.2 依托海量数据分析自动分类
 
       目前来(lai)看(kan)我们(men)还是(shi)更多地应用一些(xie)统计和聚(ju)合的(de)基(ji)本方法,依托半人(ren)工的(de)方式,来(lai)提升相应的(de)处(chu)理(li)。
 
         基因特征向量
         离群点的分析和处理
         噪声处理

 

  图5-1 依托海量数据分析自动分类

 
       5.3 数据结果分析呈现
 
       实际上最后我们是通过整个(ge)鉴(jian)定链条,提供我们在整个(ge)鉴(jian)定链条中的(de)(de)每一个(ge)命(ming)中标志来(lai)为用户(hu)揭示完全的(de)(de)安全场景,然后提供一种综合(he)的(de)(de)更(geng)细粒度的(de)(de)结果呈现(xian)。

 

  图5-2 APT时代需要更精准分析结果

 
       5.4 补充观点

       这里我还要补充提出一些观点:
 
       第一、 APT颠覆了全球主要国家阵营间艰难形成的应急协作体制。
 
       在从(cong)过去互联网时代开始的(de)(de)(de)20年时间里,从(cong)最(zui)开始各个国家(jia)独立的(de)(de)(de)进行信(xin)(xin)息高(gao)速高(gao)路(lu)的(de)(de)(de)赛跑,经过大(da)(da)(da)融合、小碰撞、小摩(mo)擦,使全(quan)球逐渐的(de)(de)(de)形成基本(ben)的(de)(de)(de)应急(ji)响应链条。一般来(lai)看,很多大(da)(da)(da)国的(de)(de)(de)基础国际战略(lve)逻(luo)辑(ji)是基于假(jia)设敌构(gou)造,“伟(wei)大(da)(da)(da)的(de)(de)(de)国家(jia)必有巨大(da)(da)(da)的(de)(de)(de)假(jia)设敌”,这是一些国家(jia)发展包括国民心理的(de)(de)(de)重要(yao)支撑点(dian)和动(dong)力源。目(mu)前全(quan)球大(da)(da)(da)国间信(xin)(xin)任是基于统一反恐背(bei)景(jing)形成的(de)(de)(de),但本(ben)拉(la)登的(de)(de)(de)被击毙作为(wei)一个政治标(biao)志,将带来(lai)新的(de)(de)(de)格局(ju),会不会让东(dong)西方从(cong)原(yuan)来(lai)的(de)(de)(de)大(da)(da)(da)合作中小对抗(kang),变成大(da)(da)(da)对抗(kang)中小合作的(de)(de)(de)背(bei)景(jing),所以说原(yuan)有的(de)(de)(de)应急(ji)体系就被颠覆掉(diao)了。
 
       第二、 APT是AV厂商一个新的28定律分水岭。
 
       28分(fen)水岭就是(shi)在反病(bing)(bing)毒(du)业(ye)界中(zhong)(zhong)符合其(qi)他(ta)产业(ye)中(zhong)(zhong)的(de)(de)(de)一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)通用规(gui)律:20%的(de)(de)(de)工(gong)作(zuo)解决80%的(de)(de)(de)问题。反病(bing)(bing)毒(du)也是(shi)这(zhei)样(yang),只要做20%的(de)(de)(de)工(gong)作(zuo)能(neng)查(cha)80%的(de)(de)(de)病(bing)(bing)毒(du)。在所(suo)有的(de)(de)(de)厂(chang)(chang)(chang)商在快速的(de)(de)(de)发(fa)展的(de)(de)(de)情况下,只要做一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)自动(dong)化提取点、一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)样(yang)本循环、一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)对照扫(sao)描加上一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)哈(ha)希提取,然后(hou)云查(cha)杀的(de)(de)(de)模(mo)式,这(zhei)就是(shi)20%的(de)(de)(de)工(gong)作(zuo),以(yi)(yi)此(ci)解决大(da)范围的(de)(de)(de)事情,但(dan)一(yi)(yi)(yi)(yi)(yi)(yi)旦一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)硬指(zhi)标出(chu)(chu)(chu)(chu)现的(de)(de)(de)时(shi)候,就会淘(tao)汰一(yi)(yi)(yi)(yi)(yi)(yi)些(xie)(xie)“硬能(neng)力不足”的(de)(de)(de)厂(chang)(chang)(chang)商。因为当一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)巨大(da)的(de)(de)(de)、必(bi)须(xu)付出(chu)(chu)(chu)(chu)的(de)(de)(de)代(dai)(dai)价需要承(cheng)担,有能(neng)力付出(chu)(chu)(chu)(chu)这(zhei)个(ge)代(dai)(dai)价的(de)(de)(de)就能(neng)生存下去,克(ke)服不了(le)(le)的(de)(de)(de)就会被(bei)淘(tao)汰。过(guo)去也出(chu)(chu)(chu)(chu)现过(guo)28分(fen)水岭,比如宏病(bing)(bing)毒(du),它是(shi)中(zhong)(zhong)国民间和商业(ye)反病(bing)(bing)毒(du)团(tuan)队的(de)(de)(de)分(fen)水岭,宏病(bing)(bing)毒(du)易写、易改(gai)、难杀,从国内(nei)当时(shi)的(de)(de)(de)情况来看,国内(nei)有很多(duo)的(de)(de)(de)小的(de)(de)(de)反病(bing)(bing)毒(du)团(tuan)队,而到了(le)(le)宏病(bing)(bing)毒(du)时(shi)代(dai)(dai),民间团(tuan)队却(que)全部被(bei)淘(tao)汰了(le)(le),这(zhei)是(shi)因为微(wei)软不愿意向(xiang)(xiang)中(zhong)(zhong)国厂(chang)(chang)(chang)商公开OLE结构,必(bi)须(xu)逆向(xiang)(xiang)解决,谁(shei)抗得(de)住逆向(xiang)(xiang)分(fen)析的(de)(de)(de)几个(ge)月,谁(shei)就能(neng)成功(gong)。当然在这(zhei)个(ge)分(fen)水岭上我们就能(neng)看到一(yi)(yi)(yi)(yi)(yi)(yi)些(xie)(xie)非(fei)技(ji)术能(neng)力的(de)(de)(de)差(cha)异。McAfee等(deng)厂(chang)(chang)(chang)商在很多(duo)时(shi)间之内(nei)就可以(yi)(yi)通过(guo)和微(wei)软联系获得(de)OLE的(de)(de)(de)文档,国内(nei)厂(chang)(chang)(chang)商却(que)被(bei)微(wei)软拒绝(jue)了(le)(le)。因此(ci)到了(le)(le)APT时(shi)代(dai)(dai)之后(hou),各厂(chang)(chang)(chang)商的(de)(de)(de)技(ji)术能(neng)力能(neng)不能(neng)跟得(de)上,挺得(de)住,耗得(de)起,这(zhei)就成为了(le)(le)一(yi)(yi)(yi)(yi)(yi)(yi)个(ge)新(xin)的(de)(de)(de)分(fen)水岭。
 
       第三、 APT在原有的采集加自动化能力的比拼之外,增加了深度分析能力和耐心的比拼。
 
       原(yuan)来(lai)的(de)(de)AV链条(tiao)单(dan)纯就是(shi)谁(shei)终端(duan)数多,谁(shei)更主(zhu)动;谁(shei)后端(duan)分(fen)(fen)析能力(li)更强、自(zi)动化分(fen)(fen)析规模更大,谁(shei)更主(zhu)动,而(er)现在(zai)(zai)(zai)又加上了(le)深度分(fen)(fen)析能力(li)和耐心(xin)的(de)(de)比(bi)拼(pin)。比(bi)如卡巴(ba)斯基(ji)和赛(sai)门铁克曾出(chu)现过沉默的(de)(de)45天。赛(sai)门铁克沉默的(de)(de)45天内彻(che)底分(fen)(fen)析清(qing)楚了(le)Stuxnet整个(ge)作用(yong)于WinCC和PLC的(de)(de)全过程,而(er)卡巴(ba)斯基(ji)则在(zai)(zai)(zai)45天内分(fen)(fen)析清(qing)楚了(le)Stuxnet和Duqu的(de)(de)基(ji)因(yin)关联(lian)模型。国际厂商在(zai)(zai)(zai)APT样本(ben)分(fen)(fen)析中做(zuo)了(le)巨(ju)大的(de)(de)投入,分(fen)(fen)析团(tuan)队里不只(zhi)投入分(fen)(fen)析人(ren)(ren)员(yuan),还投入了(le)大量(liang)的(de)(de)系统架(jia)构人(ren)(ren)员(yuan)和核心(xin)开发人(ren)(ren)员(yuan),而(er)且在(zai)(zai)(zai)一段(duan)时间内为(wei)了(le)攻克关键(jian)过程,可能偃旗息鼓一样没有任何消息放(fang)出(chu),对于炒(chao)短线、很(hen)功利的(de)(de)国内安全行业(ye)氛(fen)围来(lai)看是(shi)不是(shi)熬得起?所以我说(shuo)这不仅是(shi)技术(shu)能力(li)的(de)(de)比(bi)拼(pin),还增加了(le)耐心(xin)的(de)(de)比(bi)拼(pin)。
 
       第四、 APT的大众与小众,必然有产品模式的变化。
 
       APT绝不是(shi)一(yi)个大众(zhong)产(chan)(chan)品(pin),甚至不是(shi)一(yi)个现(xian)金牛型的(de)产(chan)(chan)品(pin),普通网民并不会觉得对生(sheng)活有什么(me)影响,之(zhi)前的(de)反(fan)病毒(du)产(chan)(chan)品(pin)会依然如旧,而(er)APT是(shi)一(yi)个小众(zhong)场景,对于小众(zhong)场景的(de)反(fan)APT产(chan)(chan)品(pin)应(ying)该(gai)怎么(me)做,这将必(bi)然导(dao)致产(chan)(chan)品(pin)模(mo)式的(de)变化。
 
       第五、 APT对抗的本质依然是资源和代价对抗,我们已经输在起跑线上了……
 
       为什么(me)中(zhong)(zhong)国的(de)(de)(de)(de)厂(chang)商或产(chan)业已(yi)经输在起(qi)跑线上(shang)了?首(shou)先是(shi)(shi)(shi)先天不(bu)足,就(jiu)是(shi)(shi)(shi)信息(xi)(xi)不(bu)对(dui)称,操作系统以(yi)(yi)(yi)别(bie)人(ren)(ren)的(de)(de)(de)(de)为主(zhu)(zhu)(zhu)导(dao)(dao)(dao)、大(da)的(de)(de)(de)(de)搜(sou)索引擎和数(shu)据聚合(he)以(yi)(yi)(yi)别(bie)人(ren)(ren)的(de)(de)(de)(de)为主(zhu)(zhu)(zhu)导(dao)(dao)(dao)、关键(jian)的(de)(de)(de)(de)硬件安(an)全(quan)环节也以(yi)(yi)(yi)别(bie)人(ren)(ren)为主(zhu)(zhu)(zhu)导(dao)(dao)(dao)、整(zheng)个的(de)(de)(de)(de)基(ji)础(chu)的(de)(de)(de)(de)工业体(ti)系和信息(xi)(xi)化能(neng)(neng)力(li)仍以(yi)(yi)(yi)别(bie)人(ren)(ren)为主(zhu)(zhu)(zhu)导(dao)(dao)(dao);其次(ci)是(shi)(shi)(shi)后天不(bu)足,中(zhong)(zhong)国实际上(shang)是(shi)(shi)(shi)独立(li)安(an)全(quan)厂(chang)商能(neng)(neng)力(li)非(fei)常(chang)弱的(de)(de)(de)(de)国家,只有独立(li)厂(chang)商才是(shi)(shi)(shi)基(ji)础(chu)安(an)全(quan)研究的(de)(de)(de)(de)动(dong)力(li),国内在这方面相当不(bu)足,是(shi)(shi)(shi)缺(que)少(shao)这种动(dong)力(li)的(de)(de)(de)(de),特别(bie)是(shi)(shi)(shi)在主(zhu)(zhu)(zhu)战场上(shang),目(mu)前是(shi)(shi)(shi)以(yi)(yi)(yi)互联网厂(chang)商为主(zhu)(zhu)(zhu)导(dao)(dao)(dao)的(de)(de)(de)(de),互联网模(mo)式下(xia)厂(chang)商的(de)(de)(de)(de)思维方式往(wang)往(wang)不(bu)看重传统安(an)全(quan)团(tuan)队的(de)(de)(de)(de)那种系统性(xing)、严谨性(xing)和耐(nai)心,而更看重敏(min)锐、快捷、前台体(ti)验,这不(bu)是(shi)(shi)(shi)优劣对(dui)比,这是(shi)(shi)(shi)团(tuan)队价(jia)值导(dao)(dao)(dao)向所决定的(de)(de)(de)(de)。人(ren)(ren)力(li)、物力(li)、财力(li)、分(fen)析能(neng)(neng)力(li),以(yi)(yi)(yi)及所储备的(de)(de)(de)(de)大(da)量(liang)(liang)的(de)(de)(de)(de)海量(liang)(liang)的(de)(de)(de)(de)样本与(yu)基(ji)因是(shi)(shi)(shi)反APT综合(he)的(de)(de)(de)(de)代价(jia)对(dui)抗,但是(shi)(shi)(shi)我(wo)们已(yi)经输在了起(qi)跑线上(shang)。
 
       5.5 尾声:那些恐惧的日子
 
       在(zai)搞反(fan)病毒的(de)(de)20年来(lai),我有几天(tian)是非(fei)常恐惧的(de)(de):
 
         2003年3月10日
       2003年3月(yue)10日(ri),一个叫(jiao)做rongrong的蠕虫(chong)…
 
       第一次是(shi)(shi)在(zai)(zai)2003年3月10日(ri),而在(zai)(zai)3月8日(ri)之前我(wo)(wo)(wo)们(men)都在(zai)(zai)响(xiang)应口令(ling)蠕(ru)虫(chong)(chong)(chong),在(zai)(zai)非常疲惫憔悴(cui)的(de)(de)(de)(de)时(shi)候(hou),突然(ran)就在(zai)(zai)机器上(shang)发(fa)现(xian)了(le)另外一种(zhong)蠕(ru)虫(chong)(chong)(chong),我(wo)(wo)(wo)们(men)起名为rongrong,它(ta)也是(shi)(shi)通过口令(ling)蠕(ru)虫(chong)(chong)(chong)感染机制传(chuan)播(bo)的(de)(de)(de)(de),它(ta)实际上(shang)存在(zai)(zai)的(de)(de)(de)(de)时(shi)间(jian)比当时(shi)的(de)(de)(de)(de)口令(ling)蠕(ru)虫(chong)(chong)(chong)更久,但是(shi)(shi)我(wo)(wo)(wo)们(men)没有(you)(you)发(fa)现(xian)。我(wo)(wo)(wo)们(men)刚开始发(fa)现(xian)有(you)(you)口令(ling)蠕(ru)虫(chong)(chong)(chong)这种(zhong)机制传(chuan)播(bo)时(shi)很(hen)(hen)兴(xing)奋,整个(ge)团(tuan)队的(de)(de)(de)(de)好手都投入(ru)其中(zhong),突然(ran)间(jian)出现(xian)这个(ge)蠕(ru)虫(chong)(chong)(chong),因此陷入(ru)到(dao)了(le)很(hen)(hen)大的(de)(de)(de)(de)恐(kong)惧中(zhong),因为当时(shi)团(tuan)队规模很(hen)(hen)小,深度(du)分析、编(bian)写专杀、编(bian)写扫描验证模块等等,已经耗尽兵力和精力了(le),当时(shi)感觉到(dao)的(de)(de)(de)(de)是(shi)(shi)无(wu)力和无(wu)能。但是(shi)(shi)这个(ge)事件触发(fa)的(de)(de)(de)(de)是(shi)(shi)我(wo)(wo)(wo)们(men)完成了(le)国内反病毒历史上(shang)比较(jiao)早的(de)(de)(de)(de)一份(fen)完整的(de)(de)(de)(de)针对行为关联(lian)(lian)家(jia)族的(de)(de)(de)(de)分析报告,这份(fen)报告对从样(yang)本(ben)库中(zhong)检索到(dao)的(de)(de)(de)(de),所有(you)(you)的(de)(de)(de)(de)基于psexec远程(cheng)投放机理的(de)(de)(de)(de)恶意代(dai)码蠕(ru)虫(chong)(chong)(chong)进(jin)行了(le)还原分析,它(ta)是(shi)(shi)在(zai)(zai)安天历史上(shang)第一篇10页以上(shang)的(de)(de)(de)(de)分析报告,也在(zai)(zai)国内开创了(le)样(yang)本(ben)家(jia)族间(jian)基于分析关联(lian)(lian)方法(fa)的(de)(de)(de)(de)先河。
 
         2005年4月
       2005年4月,一个手工(gong)清除失(shi)败的木马…。
 
       第二次是(shi)2005年(nian)4月,当(dang)时也是(shi)一(yi)个(ge)(ge)相对(dui)有重要价值(zhi)的节点,在用户现场排查的时候,发现了(le)一(yi)个(ge)(ge)rootkit,当(dang)时借助了(le)大量我们(men)自己(ji)编写的和第三方工具(ju)进行(xing)手工处理,大概(gai)用了(le)一(yi)个(ge)(ge)小时,最终(zhong)宣告(gao)失败。我突然想(xiang)起当(dang)年(nian)在DOS下(xia)分析每一(yi)个(ge)(ge)恶意(yi)代码都是(shi)手工分析和手工提取,自己(ji)感觉(jue)好像又回到了(le)手工对(dui)抗(kang)的时代。但在这个(ge)(ge)rootkit和当(dang)时的木马(ma)数据(ju)汇总驱动下(xia),我们(men)做了(le)一(yi)个(ge)(ge)内部的技术报告(gao),这是(shi)一(yi)个(ge)(ge)有预测性的报告(gao),是(shi)一(yi)个(ge)(ge)有数据(ju)支撑的报告(gao)。基本结论(lun)是(shi),中国信息安全可(ke)能会崩盘于木马(ma)。
 
         2012年10月19日
       第三次就(jiu)是2012年10月19日,在CNCC做这个(ge)报告的(de)前夜,尽管已(yi)经做了很多工作,但对APT的(de)无力(li)感和恐(kong)惧感却那样(yang)强(qiang)烈。
 
       6 结束语
 
       每(mei)(mei)次我(wo)(wo)感(gan)到历史(shi)螺旋(xuan)仿佛回到起点(dian)之时,我(wo)(wo)就会有一种恐(kong)惧感(gan),这些(xie)年做了(le)大量(liang)(liang)的(de)(de)自动(dong)化分析流水线(xian)的(de)(de)工作,但(dan)(dan)每(mei)(mei)次应对(dui)(dui)新的(de)(de)威胁依(yi)然感(gan)到力不从心。但(dan)(dan)我(wo)(wo)并不悲观(guan),曾经(jing)我(wo)(wo)们觉得蠕虫很难对(dui)(dui)抗(kang),短时间内可以瘫痪全球互联网,但(dan)(dan)是(shi)(shi)事实证(zheng)明(ming),它(ta)不是(shi)(shi)不可遏制的(de)(de),木马(ma)的(de)(de)数量(liang)(liang)飞速膨胀也(ye)曾让我(wo)(wo)们忧(you)心忡忡,但(dan)(dan)从目(mu)前来看,其几个级(ji)别的(de)(de)膨胀速度已经(jing)开(kai)始下降,实际(ji)上(shang)我(wo)(wo)们每(mei)(mei)次都有效应对(dui)(dui)了(le),只不过我(wo)(wo)们可能还不够(gou)积极主动(dong),而且没有把它(ta)转化成有效的(de)(de)产品形(xing)式(shi)。我(wo)(wo)觉得,我(wo)(wo)们对(dui)(dui)于(yu)(yu)对(dui)(dui)手的(de)(de)恐(kong)惧和无(wu)力感(gan)是(shi)(shi)我(wo)(wo)们对(dui)(dui)于(yu)(yu)技术的(de)(de)敬畏与执著的(de)(de)源泉(quan)。
 
       我(wo)(wo)突(tu)然想(xiang)起了恩格(ge)斯的名言“人类(lei)历史(shi)了上的每一次巨(ju)大灾难,都是以巨(ju)大进步为补偿的。”我(wo)(wo)不(bu)相(xiang)信(xin)(xin)(xin)APT是终极的威胁,APT可能不(bu)会(hui)(hui)被消灭,但我(wo)(wo)相(xiang)信(xin)(xin)(xin)肯定是会(hui)(hui)被遏制的,同(tong)时新的,更高(gao)级(ji)别的威胁也还(hai)会(hui)(hui)出现,我(wo)(wo)们也同(tong)样会(hui)(hui)找(zhao)到应对的方(fang)式,这(zhei)种对抗史(shi)将(jiang)贯(guan)穿(chuan)于人类(lei)的信(xin)(xin)(xin)息技术史(shi)中(zhong),而(er)我(wo)(wo)们最终只(zhi)是这(zhei)个历史(shi)的片段(duan)。