引言

    傳統(tǒng)病毒查殺機(jī)制主要通過目標(biāo)文件特征碼鑒定方式查殺木馬病毒。這種方式主要是通過將目標(biāo)文件的特征碼和本地病毒特征庫內(nèi)病毒特征進(jìn)行比對，若匹配特征庫中某病毒特征則判定此文件為病毒文件，判斷的準(zhǔn)確性取決于特征庫是否全面。然而新病毒不斷涌現(xiàn)，用戶需要不斷更新病毒庫才能保證病毒庫的升級(jí)全面，這必然使得病毒庫越來越龐大，占用用戶內(nèi)存和系統(tǒng)資源越來越多，導(dǎo)致殺毒軟件的掃描效率不斷下降，系統(tǒng)性能也受到極大影響�！度鹦腔ヂ�(lián)網(wǎng)安全報(bào)告》顯示2011年上半年中國互聯(lián)網(wǎng)安全領(lǐng)域病毒總量比去年同期上升25．2％。病毒數(shù)量呈爆炸式增長使得傳統(tǒng)殺毒軟件面臨嚴(yán)重的困境，因此殺毒軟件必須要建立一種全新的病毒查殺機(jī)制。“云安全”利用互聯(lián)網(wǎng)的傳輸及計(jì)算功能，將原來放在客戶端的分析計(jì)算能力轉(zhuǎn)移到了服務(wù)器端，很大程度上彌補(bǔ)了傳統(tǒng)病毒查殺機(jī)制的不足。目前對“云安全”檢測技術(shù)的研究著重于檢測性能的提升和服務(wù)器集群的防攻擊保護(hù)方面，而本文針對“云安全”檢測系統(tǒng)的客戶端，對“云安全”結(jié)構(gòu)和主流“云安全”策略進(jìn)行了介紹，同時(shí)對某“云安全”檢測流程及其檢測流程中存在的安全隱患進(jìn)行了分析，設(shè)計(jì)并驗(yàn)證了規(guī)避檢測的方案，為“云安全”檢測系統(tǒng)提供防護(hù)建議。

1 “云安全”檢測結(jié)構(gòu)分析及主流策略

    1．1 “云安全”檢測結(jié)構(gòu)分析

    “云安全”是“云計(jì)算”理論在安全領(lǐng)域的應(yīng)用，融合諸多新興技術(shù)，如網(wǎng)格計(jì)算、并行處理技術(shù)、未知病毒行為判斷技術(shù)等，通過互聯(lián)網(wǎng)將用戶和殺毒軟件廠商的服務(wù)器集群進(jìn)行連接，形成一個(gè)龐大的防毒殺毒系統(tǒng)，對用戶機(jī)器中軟件的異常行為進(jìn)行監(jiān)測，從中獲取病毒木馬的特征信息并向服務(wù)器端傳送，服務(wù)器端對其進(jìn)行分析處理后再向各個(gè)客戶端發(fā)送該病毒木馬的解決方案。“云安全”檢測系統(tǒng)結(jié)構(gòu)組成如圖1所示。

    “云安全”將原先客戶端的分析計(jì)算工作轉(zhuǎn)移到了服務(wù)器端，這要求服務(wù)器端必須擁有快速響應(yīng)客戶端請求與快速分析處理可疑文件的能力。為提高分析查殺的準(zhǔn)確率，服務(wù)器端擁有多個(gè)快速分析引擎、龐大的病毒特征庫以及行為分析等多個(gè)分析技術(shù)。當(dāng)用戶訪問網(wǎng)絡(luò)信息時(shí)，“云安全”客戶端首先將用戶訪問信息提交服務(wù)器進(jìn)行安全評(píng)估，服務(wù)器快速響應(yīng)分析后迅速將解決方案發(fā)送至客戶端，客戶端再根據(jù)解決方案提示用戶該網(wǎng)絡(luò)信息是否安全；當(dāng)用戶執(zhí)行本地掃描時(shí)，客戶端將可疑文件樣本提交至服務(wù)器進(jìn)行分析得到解決方案。

圖1 “云安全”系統(tǒng)結(jié)構(gòu)組成

    1．2主流“云安全”策略

    目前“云安全”的技術(shù)標(biāo)準(zhǔn)并不統(tǒng)一，各個(gè)殺毒軟件廠商對“云安全”的理解各不相同，主要分為偏主動(dòng)防御型和偏被動(dòng)防御型兩類“云安全”策略。

    偏主動(dòng)防御型“云安全”以趨勢科技為代表，其“云安全”使用大量的服務(wù)器構(gòu)成一個(gè)具有龐大的黑白名單的“云”，通過Web信譽(yù)服務(wù)(web reputation services，WRS)、郵件信譽(yù)服務(wù)(email reputation services，ERS)和文件信譽(yù)服務(wù)(file reputation services，F(xiàn)RS)等核心技術(shù)，對網(wǎng)絡(luò)訪問信息進(jìn)行安全評(píng)估，并攔截阻止Web威脅進(jìn)人用戶機(jī)器。該“云安全”系統(tǒng)的服務(wù)器數(shù)據(jù)庫中存有大量的網(wǎng)絡(luò)威脅特征值，客戶端僅保存有少量的病毒特征碼文件和web信譽(yù)評(píng)級(jí)等數(shù)據(jù)用于本地驗(yàn)證。趨勢云安全技術(shù)強(qiáng)調(diào)對Web威脅的攔截，通過動(dòng)態(tài)分析，對網(wǎng)絡(luò)訪問信息進(jìn)行安全等級(jí)評(píng)估，極大地降低了病毒對下載傳染的依賴性，但是這種主動(dòng)防御對本機(jī)上已經(jīng)存在的未知威脅的有效感知能力相對較弱。

    偏被動(dòng)防御型“云安全”以瑞星為代表，其“云安全”擁有大量的客戶端，每個(gè)客戶端都通過已安裝的“云安全的探針”對用戶計(jì)算機(jī)進(jìn)行掃描，截獲、提取可能是惡意程序的文件樣本，并將其上傳至“云安全”服務(wù)器，服務(wù)器在自動(dòng)分析和處理后再向每個(gè)客戶端分發(fā)解決方案。這種被動(dòng)防御模式能夠?qū)Ρ镜匾呀?jīng)存在的未知病毒進(jìn)行有效偵測和查殺，但對網(wǎng)絡(luò)病毒的主動(dòng)防御能力相對較弱。

    1．3 “云安全”的安全防護(hù)

    “云安全”檢測采用輕客戶端的策略，將分析計(jì)算工作以及病毒特征庫等全部轉(zhuǎn)移至服務(wù)器端，一旦云端服務(wù)器遭受攻擊，比如篡改數(shù)據(jù)庫等，“云安全”系統(tǒng)就無法對木馬病毒進(jìn)行正確判斷，甚至無法正常運(yùn)行，因此目前對于“云安全”的安全防護(hù)研究集中于對服務(wù)器集群的保護(hù)，對客戶端的安全防護(hù)研究比較薄弱。

2 “云安全”檢測流程及安全隱患分析

    2．1 “云安全”檢測流程

    以某“云查殺”(即“云安全”檢測)軟件為例分析其檢測流程。該“云查殺”主要通過文件hash比對、文件樣本啟發(fā)式分析和行為分析三大檢測技術(shù)對可疑文件進(jìn)行分析判斷。如圖2所示，客戶端軟件首先查找可疑文件并上傳該文件hash值至服務(wù)器集群，服務(wù)器端對該文件hash值進(jìn)行黑白名單比對，發(fā)現(xiàn)異常則生成解決方案發(fā)送至客戶端，未發(fā)現(xiàn)異�？蛻舳藙t提取文件樣本，經(jīng)過服務(wù)器端對該文件樣本的啟發(fā)式分析檢測后，發(fā)現(xiàn)異常則生成解決方案；若仍未發(fā)現(xiàn)異常，客戶端軟件則搜集該文件運(yùn)行過程中的行為特征上傳至服務(wù)器進(jìn)行行為分析，服務(wù)器最終判定該文件是否可信并向客戶端發(fā)送解決方案。

圖2 某“云查殺”系統(tǒng)檢測流程

    2．2 “云查殺”檢測流程安全隱患分析

    該“云查殺”系統(tǒng)依靠客戶端上傳的文件hash觸發(fā)服務(wù)器端一系列的檢測分析，在如圖2所示的檢測流程中，攻擊任何一個(gè)環(huán)節(jié)都會(huì)影響最終解決方案的生成。但黑白名單比對、啟發(fā)式分析和行為分析3個(gè)環(huán)節(jié)處于服務(wù)器端，由于“云安全”系統(tǒng)對服務(wù)器嚴(yán)密的安全防護(hù)，針對這3個(gè)環(huán)節(jié)的攻擊相對比較困難，因此對處于客戶端的各個(gè)環(huán)節(jié)進(jìn)行分析發(fā)現(xiàn)，客戶端查找文件和提取文件hash上傳兩個(gè)環(huán)節(jié)存在安全缺陷，極易遭受文件路徑欺騙、通信欺騙和斷網(wǎng)攻擊。

    2．2．1 文件路徑欺騙安全隱患分析

    “云查殺”客戶端對用戶計(jì)算機(jī)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)有程序啟動(dòng)運(yùn)行時(shí)．客戶端將立即檢查該程序的合法性，但客戶端只是簡單的根據(jù)啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)等特定信息查找該程序位置并提取文件樣本，惡意軟件可以通過隱藏其真實(shí)文件路徑來輕易地躲過客戶端的查找。

    2．2．2通信欺騙安全隱患分析

    該“云查殺”客戶端在上傳文件信息的過程中只對上傳數(shù)據(jù)進(jìn)行了壓縮處理，并未對其進(jìn)行加密和校驗(yàn)，這意味著攻擊者一旦進(jìn)入底層就可以輕易地?cái)r截篡改上傳數(shù)據(jù)，為惡意軟件躲過服務(wù)器端的檢測提供可能。通過嗅探獲取該“云查殺”上傳的數(shù)據(jù)包分析發(fā)現(xiàn)，上傳數(shù)據(jù)采用HT—TP包發(fā)送，數(shù)據(jù)包中除“md5s”數(shù)據(jù)段采用壓縮外，其它數(shù)據(jù)均采用明文傳送，如圖3所示，該壓縮數(shù)據(jù)段以“789C”開頭，因此采用Zlib解壓分析。

圖3 “云查殺”上傳的數(shù)據(jù)內(nèi)容

    解壓分析圖3中被壓縮數(shù)據(jù)段，得到被檢測文件的關(guān)鍵信息，這些信息并未加密且無校驗(yàn)值，如圖4所示，壓縮數(shù)據(jù)主要為被檢測文件的hash值、文件大小以及文件全路徑。

圖4上傳數(shù)據(jù)中壓縮部分的內(nèi)容

    根據(jù)圖4內(nèi)容分析可知，“云查殺”對文件的初步判斷主要仍是通過文件hash值的比對，因此木馬可以底層攔截“云查殺”上傳數(shù)據(jù)，將數(shù)據(jù)包中木馬文件的hash值替換為正常文件的hash值，或者在有多條被檢測文件記錄的情況下直接刪除木馬文件的整條記錄，再重新按照原數(shù)據(jù)包格式封裝后發(fā)送至服務(wù)器端，從而達(dá)到躲避“云查殺”的目的。

    2．2．3斷網(wǎng)安全隱患分析

    盡管各殺毒軟件廠商的“云安全”策略互不相同，但“云安全”終究依賴于互聯(lián)網(wǎng)生存，網(wǎng)絡(luò)一旦斷開，“云查殺”就只能成為擺設(shè)。如果惡意程序運(yùn)行時(shí)，網(wǎng)絡(luò)處于斷開狀態(tài)，那么即使“云查殺”掃描提取到該惡意程序文件樣本也無法上傳至云端服務(wù)器進(jìn)行分析處理。“云查殺”客戶端在無法連接服務(wù)器的情況下，仍然會(huì)通過本地掃描檢測生成解決方案，但由于本地病毒庫并不全面，因此惡意程序可以很輕易地躲過“云查殺”軟件的查殺。

3 實(shí)驗(yàn)驗(yàn)證方案

    為了驗(yàn)證上文描述的安全隱患具有危害性，設(shè)計(jì)規(guī)避該“云查殺”的實(shí)驗(yàn)方案。下列方案以PCShare為例在該“云查殺”最新版上均測試通過。

    3．1文件路徑欺騙

    以上文中的文件路徑欺騙安全隱患分析為理論依據(jù)，設(shè)計(jì)文件路徑的隱藏方案。木馬程序只需構(gòu)建沒有實(shí)際文件的進(jìn)程即可使得殺毒軟件根據(jù)啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)等特定信息無法找到該進(jìn)程實(shí)際存在的目錄。首先為木馬文件建立虛擬目錄，使得木馬在該虛擬目錄里運(yùn)行．再將創(chuàng)建的虛擬目錄刪除。這樣，殺毒軟件只能獲取該木馬運(yùn)行的虛擬目錄，根據(jù)該目錄無法找到木馬文件。具體實(shí)現(xiàn)步驟如下：

    (1)首先利用Windows提供的subst命令給惡意程序

    實(shí)際存在的目錄賦驅(qū)動(dòng)器符，例如G：，以磁盤驅(qū)動(dòng)器符代替惡意程序?qū)嶋H存在的目錄名稱；

    (2)打開第一步所創(chuàng)建的虛擬驅(qū)動(dòng)器，運(yùn)行其中的惡意程序；

    (3)利用subst命令刪除第一步所創(chuàng)建的虛擬驅(qū)動(dòng)器。

    3．2 “云查殺”通信欺騙

    針對該“云查殺”軟件對其上傳文件樣本未進(jìn)行加密和校驗(yàn)的安全缺陷，設(shè)計(jì)篡改上傳數(shù)據(jù)方案。該“云查殺”軟件采用HTTP協(xié)議上傳文件信息，HrrP頭部請求行包括請求方式、URI，和HTTP版本三項(xiàng)內(nèi)容：

    POST ／file health info．php HTTP／1．1

    該請求行中URL固定不變，可以作為數(shù)據(jù)包過濾條件，因此可以利用在用戶層編寫服務(wù)提供者接口(serviceprovider interface，SPI)來hook系統(tǒng)SPl的方法截獲修改數(shù)據(jù)包內(nèi)容。首先將注冊表中系統(tǒng)SPI的路徑保存，編寫新的具有截獲篡改網(wǎng)絡(luò)數(shù)據(jù)包功能的SPI，再將系統(tǒng)SPI路徑替換為新SPI路徑；當(dāng)有Winsock調(diào)用發(fā)生時(shí)，系統(tǒng)首先找到新SPI并執(zhí)行，新SPI再加載原先保存的系統(tǒng)SPI并得到系統(tǒng)SPI函數(shù)WSPSend，通過替換該WSPend函數(shù)來完成數(shù)據(jù)封包的截獲、修改與轉(zhuǎn)發(fā)。WSPStartup是Win—dows Sockets應(yīng)用程序調(diào)用SPl的初始化函數(shù)，WSPSend函數(shù)替換過程即在WSPStartup函數(shù)體內(nèi)完成。

    WSPStartup函數(shù)具體實(shí)現(xiàn)步驟如下：

    (1)根據(jù)參數(shù)IpProtocollnfo的協(xié)議信息棧找出服務(wù)提供者的D，根據(jù)D取出原先保存的系統(tǒng)SPI程序的路徑與文件名；

    (2)LOAdlibrary加載系統(tǒng)SPI，并通過GetProeAd—dress得到系統(tǒng)SPI的WSPStartup函數(shù)指針；

    (3)通過系統(tǒng)SPI的WSPStartup函數(shù)得到系統(tǒng)SPI的服務(wù)函數(shù)指針I(yè)pProcTable并保存；

    (4)將IpProcTable結(jié)構(gòu)中的WSPSend函數(shù)指針設(shè)置為新的WSPSend函數(shù)，在新的WSPSend函數(shù)中實(shí)現(xiàn)數(shù)據(jù)包的修改與轉(zhuǎn)發(fā)。wSPSend函數(shù)具體實(shí)現(xiàn)步驟如下：

    (1)以HTTP頭部請求行中的URL為過濾條件，將符合條件的數(shù)據(jù)包內(nèi)容保存，不符合條件的數(shù)據(jù)包調(diào)用系統(tǒng)SPI中的WsPSend函數(shù)直接轉(zhuǎn)發(fā)；

    (2)對于符合過濾條件的數(shù)據(jù)包，截取數(shù)據(jù)包中的壓縮數(shù)據(jù)部分(如圖2所示以“78 9C”開頭，以“0D 0A”結(jié)尾)，并采用Zlib解壓該數(shù)據(jù)段；

    (3)在解壓數(shù)據(jù)中依據(jù)木馬文件名查找該木馬記錄信息，將該條記錄(以“0A"結(jié)尾)中的hash部分替換為正常文件hash值，并將解壓修改后的數(shù)據(jù)重新壓縮；

    (4)將原數(shù)據(jù)包中的壓縮數(shù)據(jù)替換為修改后重新壓縮的數(shù)據(jù)，并計(jì)算數(shù)據(jù)包的數(shù)據(jù)部分長度，修改HTTP頭部Content～Length值；

    (5)調(diào)用系統(tǒng)SPI中的wSPsend函數(shù)轉(zhuǎn)發(fā)修改后的數(shù)據(jù)包。

    3．3斷網(wǎng)規(guī)避“云查殺”

    以上文中的斷網(wǎng)安全隱患分析為理論依據(jù)，設(shè)計(jì)斷網(wǎng)規(guī)避“云查殺”方案。直接將用戶網(wǎng)絡(luò)關(guān)閉而不讓用戶發(fā)覺非常困難，因?yàn)橹苯訑嚅_網(wǎng)絡(luò)連接，狀態(tài)欄必然會(huì)提示網(wǎng)絡(luò)連接被禁用。而且網(wǎng)絡(luò)斷開后必須要在短時(shí)間內(nèi)恢復(fù)，否則必然會(huì)引起用戶警覺。因此要做到短時(shí)間斷網(wǎng)并且不提示，修改IP地址是個(gè)很有效的辦法。具體步驟如下：

    (1)通過netsh dump命令導(dǎo)出當(dāng)前網(wǎng)絡(luò)設(shè)置進(jìn)行備份；

    (2)修改本地連接IP地址，例如修改為10．1．1．111；

    (3)IP修改成功后，運(yùn)行惡意程序；

    (4)惡意程序成功運(yùn)行后，通過netsh-f命令從備份文件中恢復(fù)網(wǎng)絡(luò)設(shè)置。

4 規(guī)避“云查殺”行為的防護(hù)建議

    針對文件路徑欺騙行為，殺毒軟件可以在獲得病毒木馬運(yùn)行的虛擬目錄后，進(jìn)一步獲取該虛擬目錄所對應(yīng)的物理路徑。若無法獲取物理路徑，則可以根據(jù)病毒木馬的文件名搜索掃描磁盤，對病毒木馬的實(shí)際藏身之處進(jìn)行定位。

    針對“云查殺”通信欺騙行為，殺毒軟件可以對上傳數(shù)據(jù)進(jìn)行加密，加大破解分析數(shù)據(jù)包的難度，并對數(shù)據(jù)包內(nèi)容進(jìn)行校驗(yàn)，防止惡意程序?qū)��?shù)據(jù)包內(nèi)容進(jìn)行篡改。

    針對斷網(wǎng)規(guī)避“云查殺”的行為，殺毒軟件可以對用戶網(wǎng)絡(luò)配置進(jìn)行監(jiān)控，對修改用戶IP地址的行為發(fā)出提示告警；并針對“云查殺”對互聯(lián)網(wǎng)的依賴性，加強(qiáng)客戶端的分析處理技術(shù)，在無法連接服務(wù)器的情況下啟用傳統(tǒng)病毒查殺機(jī)制，能夠?qū)δ抉R病毒進(jìn)行有效地查殺。

5 結(jié)束語

    本文針對某“云查殺”軟件提出的規(guī)避方案主要是基于該“云查殺”客戶端在查找文件路徑和上傳文件樣本過程中存在的安全缺陷，這些安全缺陷產(chǎn)生的原因主要是由于該“云查殺”軟件并未獲得進(jìn)程實(shí)際存在目錄，并且并未對上傳數(shù)據(jù)進(jìn)行加密和校驗(yàn)。針對上述安全缺陷，本文提出的幾點(diǎn)防護(hù)建議，對其它“云安全”檢測軟件也具有一定的借鑒參考作用。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：“云安全”檢測技術(shù)安全性分析

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083978524.html