反病毒時代已終結?
無意中看到英國的安全愛好者Graham Sutherland的一篇舊文《The anti-virus age is over》,盡管是一年前所寫,但仍舊可以以“呵呵”的態度一覽作者之AV觀:
| 就目前我的關注,我認為反病毒系統已然是強弩之末。或者,如果反病毒系統還沒有沒落,那也正走在即將終結的路上。
基于特征碼的分析技術,包括靜態分析(比如SHA1、哈希)和啟發式(比如模式匹配)對于多態病毒都顯得毫無用處,如果你知道編寫病毒生成器是多么的容易,就明白這是個大問題。當從具體的多態引擎中找到特定的模式時,壞家伙們早已編寫出了新的多態引擎。當你想到絕大多數瀏覽器腳本語言都具有圖靈完備性,那么很明顯,只需要開發人員的小小努力,相同的惡意代碼行為便可以通過無限多種手段重寫。行為分析或許可以提供一種低成功率的檢測方式,但是至多也是一種弱標志。 在過去幾年中,我們也看到APT(Advanced Persistent Threat)模式中的攻擊潮。這些威脅有特定的目標或對象,而非隨處拿軟柿子捏。APT模式下的攻擊涵蓋社會工程學、自編寫惡意軟件、自發掘漏洞利用工具及平臺以及未披露的0-day漏洞——反病毒方案確是面臨相當棘手的威脅。 另外一個問題是內存駐留惡意軟件。對于AV(anti-virus)廠商來說監視程序內存非常難,更別說在系統中精確檢測內存問題。如果惡意軟件不觸及硬盤,大多數AV軟件將永遠也不會發現它。在趨勢科技高級研究員Robert McArdle的報告“HTML5-A Whole New Attack Vector”中,談及用HTML5編寫的駐留在瀏覽器標簽頁中的僵尸程序和惡意軟件。假設瀏覽器不在硬盤上建立緩存,那么可以在不利用瀏覽器漏洞的前提下感染內存駐留惡意程序,如此很容易迷惑用戶,并且具有網絡連接能力。另外一方面,瀏覽器中的任意可執行代碼均可以作為杠桿加載可執行代碼到進程內存中。在瀏覽器中或者在系統常規進程內存中駐留惡意代碼如此相當簡單。此外阻止內存頁面交換也是可能的,最終便可以阻止惡意代碼被交換到硬盤存儲中。這對于AV軟件和取證分析來說簡直是夢魘一般! 如果說惡意軟件攻擊的技術方面大煞AV軟件的銳氣,那么從經濟層面來說就是AV行業棺材板的釘子。根據PayScale的數據,印度軟件開發者的平均年薪是320,000盧比,大約是5700美元。相比之下,惡意軟件分析師或系統安全分析師在扣除保險金、養老金以及其他支出型成本之前的年薪是60,000美元。這意味著,AV公司每雇傭一個分析師,壞家伙們便可以雇傭10個軟件開發者。對于同時開發3到4個惡意軟件來說也相當容易。如此便毫無爭議——壞家伙們相比之下可以用相對少的成本雇傭更多人為他們工作,而且他們不需要顧及雇傭標準和職業操守。結果是壞家伙們可以比AV公司分析師們更快、更有效、更顯著地創造和更新惡意軟件。 不要誤會,AV行業在信息安全世界中仍有一席之地——沒有它,系統管理員就不得不處理由腳本小子編寫的如洪水般的惡意代碼,但是,AV軟件已不是抵御大多數基本攻擊的利器。 |
Graham所說并非毫無準備,上文是他研究了眾多AV引擎之后所寫。時至今日,盡管Graham對于上文中的內容略有改觀,比如印度軟件開發人員不再是那么便宜,但其仍然認為:AV產業正面臨窘境!之所以這樣說,是因為:
對于平散列(flat hash)甚至CRC32的嚴重依賴來保持AV性能導致修改一個字節即可達到免殺效果。
在模糊哈希方面沒有真正的建樹。
I/O訪問優化的止步不前。
對操作系統的不良修改,比如非ASLR動態文件被注入到進程。
反內核緩沖區溢出/堆噴射機制不再有效。
在文件、進程、系統對象等等方面ACL的應用貧乏。
脆弱而又易被攻擊的組件。
對于敏感數據的低效加密方式,比如:512位的RSA加密。
松散的QA管理,比如曾經有篇文章名為《AV
相當、相當、相當糟糕的用戶界面。
在白名單機制和“known good”列表上沒有實際的創新。
Graham言下之意,是在新型安全威脅形勢下,AV廠商所面對的是新老問題共存,對AV抱有的是極其悲觀的態度。如果這僅是一家之言,不妨看看2007年高德納公司研究主管Anton Chuvakin的發現:
| 假設有人參與在一所美國著名的公共大學的受感染計算機上提取病毒樣本,并將這些樣本提交給VirusTotal,通過當時主流殺毒軟件或類產品做檢測,猜猜檢測率有多高(比如一款病毒樣本被檢測、定義為惡意軟件)? |
有以下答案供選擇:
100%
94%
90%
70%
50%
33%
22%
14%
2%
其他?
答案是33%,所有AV產品中最高檢測率為50%,最低檢測率僅有2%。令人印象深刻且難以置信的是,你花錢買來(免費下載)的殺毒軟件可能只有2%的效果,對于大多數惡意軟件可能根本無能為力!
有一臺Windows XP SP2系統的電腦,系統補丁已更新至最新,并采取以下措施保護該系統:
1)賽門鐵克企業版10.X反病毒軟件,并開啟所有保護措施,包括間諜程序/廣告程序檢測功能。
2)Windows Defentder 1.0版本,并設置每天更新且掃描,以及開啟所有保護功能。
3)ZoneAlarm 6.X免費版防火墻,并配置了良好的出站策略,以及禁止了所有入站連接。
此外,該系統刪除了所有可能遭受攻擊和感染的Windows自帶協議(比如NetBIOS),停止了許多無關服務,配置IE瀏覽器禁用注入ActiveX等風險項。
一天,這臺電腦的用戶發現ZoneAlarm報警有一系列企圖對外連接的請求,出于某種警惕性,這名用戶點擊ZoneAlarm彈出框上的“拒絕”按鈕,卻發現“拒絕”按鈕是灰色狀態,無法點擊。隨后這名IT人員Google了發起網絡連接的程序名:uvcx.exe,但仍不得不關閉了這臺電腦,直到Anton博士介入調查此事……
是的,Anton正是上面那個問題的參與者,由此他推論:多年來有不少安全產品一直在糊弄大眾,“主流”AV產品已死!
筆者也有類似遭遇,多年前筆者電腦遭受某種木馬下載者感染,本企圖借助殺毒軟件清除病毒,卻在先后試用國產兩款反病毒產品后以查無病毒告終,不得已還是以手動清除解決。但筆者遠不如Graham和Anton博士那樣對AV產業悲觀,相反,在未來信息安全發展中AV產業及企業需要做適應性轉型,且任重而道遠!
計算機病毒從上世紀80年代中期發展至今,經歷了惡作劇、報復心理、經濟驅使以及當下的政治因素誘導,制作技術愈加純熟,特別是在互聯網時代病毒制作技術已變地成本愈加低下。由此參與病毒編寫的人群不會減少,反而會越來越多,有需求便會有產業,這絕非是計算印度開發人員收入和反病毒工程師收入可以衡量趨勢的,好奇心、報復性、金錢誘惑、使命所為均會成為參與病毒編寫的驅使因素,想想參與黑產所獲得暴利吧!
多態病毒早在20多年前便已誕生,如今也早已不是什么新鮮話題,只是傳統的特征碼和啟發式技術對于此類病毒顯得捉襟見肘罷了!反病毒產品的功能主要有三部分:阻止、檢測、響應,而如今主動防御也早已興起多年,沙盒技術也已逐漸在各大軟件廠商的產品(比如微軟Office 2012)中應用,通過加密/解密變形的多態病毒的防御(虛擬機技術)也已不是問題。因此僅僅因為多態病毒的發展來否定AV的重要性是片面的。
AV產業真正面臨的困難,是病毒多平臺、多渠道、多技術的發展,比如移動設備、藍牙傳輸、與木馬技術混合,看似四面楚歌之勢,也是對于AV廠商的重大考驗:既要應對多態、rookit等,亦要應對早已老掉牙的bat、vbs編寫的病毒,如此便有不同技術/平臺優勢的AV廠商的出現以及不同AV引擎的結合,比如致力于智能手機病毒的Lookout公司、結合小紅傘和BitDefentder殺毒引擎的360安全衛士。
在病毒數量不斷增長的趨勢下以及傳統特征碼存儲的尷尬境遇下,云查殺順勢而出,國內某安全公司的安全產品甚至采取“非白即黑”的查殺策略。
而如今APT攻擊已然成常態,各類自編寫的特定惡意軟件則依然必須由AV廠商應對及披露,盡管在阻止方面似乎仍然無能為力,正如筆者在《兵臨城下——信息安全的新挑戰》中所寫,震網、火焰病毒均是由AV廠商發現并公之于眾的。但僅僅如此還不夠,純粹的技術對抗在未來勢必難上加難,反病毒技術及常識的普及對于AV廠商、安全人員才是以柔克剛之策。以筆者所見聞,倘若普通民眾能夠在個人電腦、電子設備操作上養成良好習慣(比如甚訪問可疑網頁、注意軟件安裝所附帶插件/程序),并助以選擇合適且安全的軟件產品(比如甚用IE瀏覽器)以及安全產品,足以大大減少個人遭受惡意軟件侵害的可能性,比如筆者家中父母所用電腦便因隨意安裝各類軟件、插件而遭受木馬攻擊而不自知。
事實上,不僅AV產業,整個安全行業的趨勢中,人員的因素顯得愈加重要,所謂7分管理3分技術,安全更是如此:7分意識3分技術。因此,合作方能共贏是安全廠商發展之趨勢,安全意識培養方為個人信息之保障!
更新:
就在本文寫完后的第二天,筆者在網上看到,ESET公司(NOD32反病毒軟件和ESET智能安全產品所屬公司)市場和營銷專員Ignacio Sbampato對于AV行業所面臨挑戰的評論,他認為:在商業層面上的挑戰來自于基于云計算的服務、社交網絡(AV產品無法觸及)以及免費經濟時代的軟件,此外還有智能手機應用發展所帶來的挑戰,這不同于傳統的反病毒領域,在用戶行為層面上的挑戰來自于盜版軟件使用,這不僅影響AV廠商,也影響AV的保護層面和程度,比如盜版的Windows系統安裝盤很可能被植入有病毒程序。
