引言

    傳統病毒查殺機制主要通過目標文件特征碼鑒定方式查殺木馬病毒。這種方式主要是通過將目標文件的特征碼和本地病毒特征庫內病毒特征進行比對，若匹配特征庫中某病毒特征則判定此文件為病毒文件，判斷的準確性取決于特征庫是否全面。然而新病毒不斷涌現，用戶需要不斷更新病毒庫才能保證病毒庫的升級全面，這必然使得病毒庫越來越龐大，占用用戶內存和系統資源越來越多，導致殺毒軟件的掃描效率不斷下降，系統性能也受到極大影響。《瑞星互聯網安全報告》顯示2011年上半年中國互聯網安全領域病毒總量比去年同期上升25．2％。病毒數量呈爆炸式增長使得傳統殺毒軟件面臨嚴重的困境，因此殺毒軟件必須要建立一種全新的病毒查殺機制。“云安全”利用互聯網的傳輸及計算功能，將原來放在客戶端的分析計算能力轉移到了服務器端，很大程度上彌補了傳統病毒查殺機制的不足。目前對“云安全”檢測技術的研究著重于檢測性能的提升和服務器集群的防攻擊保護方面，而本文針對“云安全”檢測系統的客戶端，對“云安全”結構和主流“云安全”策略進行了介紹，同時對某“云安全”檢測流程及其檢測流程中存在的安全隱患進行了分析，設計并驗證了規避檢測的方案，為“云安全”檢測系統提供防護建議。

1 “云安全”檢測結構分析及主流策略

    1．1 “云安全”檢測結構分析

    “云安全”是“云計算”理論在安全領域的應用，融合諸多新興技術，如網格計算、并行處理技術、未知病毒行為判斷技術等，通過互聯網將用戶和殺毒軟件廠商的服務器集群進行連接，形成一個龐大的防毒殺毒系統，對用戶機器中軟件的異常行為進行監測，從中獲取病毒木馬的特征信息并向服務器端傳送，服務器端對其進行分析處理后再向各個客戶端發送該病毒木馬的解決方案。“云安全”檢測系統結構組成如圖1所示。

    “云安全”將原先客戶端的分析計算工作轉移到了服務器端，這要求服務器端必須擁有快速響應客戶端請求與快速分析處理可疑文件的能力。為提高分析查殺的準確率，服務器端擁有多個快速分析引擎、龐大的病毒特征庫以及行為分析等多個分析技術。當用戶訪問網絡信息時，“云安全”客戶端首先將用戶訪問信息提交服務器進行安全評估，服務器快速響應分析后迅速將解決方案發送至客戶端，客戶端再根據解決方案提示用戶該網絡信息是否安全；當用戶執行本地掃描時，客戶端將可疑文件樣本提交至服務器進行分析得到解決方案。

圖1 “云安全”系統結構組成

    1．2主流“云安全”策略

    目前“云安全”的技術標準并不統一，各個殺毒軟件廠商對“云安全”的理解各不相同，主要分為偏主動防御型和偏被動防御型兩類“云安全”策略。

    偏主動防御型“云安全”以趨勢科技為代表，其“云安全”使用大量的服務器構成一個具有龐大的黑白名單的“云”，通過Web信譽服務(web reputation services，WRS)、郵件信譽服務(email reputation services，ERS)和文件信譽服務(file reputation services，FRS)等核心技術，對網絡訪問信息進行安全評估，并攔截阻止Web威脅進人用戶機器。該“云安全”系統的服務器數據庫中存有大量的網絡威脅特征值，客戶端僅保存有少量的病毒特征碼文件和web信譽評級等數據用于本地驗證。趨勢云安全技術強調對Web威脅的攔截，通過動態分析，對網絡訪問信息進行安全等級評估，極大地降低了病毒對下載傳染的依賴性，但是這種主動防御對本機上已經存在的未知威脅的有效感知能力相對較弱。

    偏被動防御型“云安全”以瑞星為代表，其“云安全”擁有大量的客戶端，每個客戶端都通過已安裝的“云安全的探針”對用戶計算機進行掃描，截獲、提取可能是惡意程序的文件樣本，并將其上傳至“云安全”服務器，服務器在自動分析和處理后再向每個客戶端分發解決方案。這種被動防御模式能夠對本地已經存在的未知病毒進行有效偵測和查殺，但對網絡病毒的主動防御能力相對較弱。

    1．3 “云安全”的安全防護

    “云安全”檢測采用輕客戶端的策略，將分析計算工作以及病毒特征庫等全部轉移至服務器端，一旦云端服務器遭受攻擊，比如篡改數據庫等，“云安全”系統就無法對木馬病毒進行正確判斷，甚至無法正常運行，因此目前對于“云安全”的安全防護研究集中于對服務器集群的保護，對客戶端的安全防護研究比較薄弱。

2 “云安全”檢測流程及安全隱患分析

    2．1 “云安全”檢測流程

    以某“云查殺”(即“云安全”檢測)軟件為例分析其檢測流程。該“云查殺”主要通過文件hash比對、文件樣本啟發式分析和行為分析三大檢測技術對可疑文件進行分析判斷。如圖2所示，客戶端軟件首先查找可疑文件并上傳該文件hash值至服務器集群，服務器端對該文件hash值進行黑白名單比對，發現異常則生成解決方案發送至客戶端，未發現異常客戶端則提取文件樣本，經過服務器端對該文件樣本的啟發式分析檢測后，發現異常則生成解決方案；若仍未發現異常，客戶端軟件則搜集該文件運行過程中的行為特征上傳至服務器進行行為分析，服務器最終判定該文件是否可信并向客戶端發送解決方案。

圖2 某“云查殺”系統檢測流程

    2．2 “云查殺”檢測流程安全隱患分析

    該“云查殺”系統依靠客戶端上傳的文件hash觸發服務器端一系列的檢測分析，在如圖2所示的檢測流程中，攻擊任何一個環節都會影響最終解決方案的生成。但黑白名單比對、啟發式分析和行為分析3個環節處于服務器端，由于“云安全”系統對服務器嚴密的安全防護，針對這3個環節的攻擊相對比較困難，因此對處于客戶端的各個環節進行分析發現，客戶端查找文件和提取文件hash上傳兩個環節存在安全缺陷，極易遭受文件路徑欺騙、通信欺騙和斷網攻擊。

    2．2．1 文件路徑欺騙安全隱患分析

    “云查殺”客戶端對用戶計算機進行實時監控，當有程序啟動運行時．客戶端將立即檢查該程序的合法性，但客戶端只是簡單的根據啟動項、系統服務等特定信息查找該程序位置并提取文件樣本，惡意軟件可以通過隱藏其真實文件路徑來輕易地躲過客戶端的查找。

    2．2．2通信欺騙安全隱患分析

    該“云查殺”客戶端在上傳文件信息的過程中只對上傳數據進行了壓縮處理，并未對其進行加密和校驗，這意味著攻擊者一旦進入底層就可以輕易地攔截篡改上傳數據，為惡意軟件躲過服務器端的檢測提供可能。通過嗅探獲取該“云查殺”上傳的數據包分析發現，上傳數據采用HT—TP包發送，數據包中除“md5s”數據段采用壓縮外，其它數據均采用明文傳送，如圖3所示，該壓縮數據段以“789C”開頭，因此采用Zlib解壓分析。

圖3 “云查殺”上傳的數據內容

    解壓分析圖3中被壓縮數據段，得到被檢測文件的關鍵信息，這些信息并未加密且無校驗值，如圖4所示，壓縮數據主要為被檢測文件的hash值、文件大小以及文件全路徑。

圖4上傳數據中壓縮部分的內容

    根據圖4內容分析可知，“云查殺”對文件的初步判斷主要仍是通過文件hash值的比對，因此木馬可以底層攔截“云查殺”上傳數據，將數據包中木馬文件的hash值替換為正常文件的hash值，或者在有多條被檢測文件記錄的情況下直接刪除木馬文件的整條記錄，再重新按照原數據包格式封裝后發送至服務器端，從而達到躲避“云查殺”的目的。

    2．2．3斷網安全隱患分析

    盡管各殺毒軟件廠商的“云安全”策略互不相同，但“云安全”終究依賴于互聯網生存，網絡一旦斷開，“云查殺”就只能成為擺設。如果惡意程序運行時，網絡處于斷開狀態，那么即使“云查殺”掃描提取到該惡意程序文件樣本也無法上傳至云端服務器進行分析處理。“云查殺”客戶端在無法連接服務器的情況下，仍然會通過本地掃描檢測生成解決方案，但由于本地病毒庫并不全面，因此惡意程序可以很輕易地躲過“云查殺”軟件的查殺。

3 實驗驗證方案

    為了驗證上文描述的安全隱患具有危害性，設計規避該“云查殺”的實驗方案。下列方案以PCShare為例在該“云查殺”最新版上均測試通過。

    3．1文件路徑欺騙

    以上文中的文件路徑欺騙安全隱患分析為理論依據，設計文件路徑的隱藏方案。木馬程序只需構建沒有實際文件的進程即可使得殺毒軟件根據啟動項、系統服務等特定信息無法找到該進程實際存在的目錄。首先為木馬文件建立虛擬目錄，使得木馬在該虛擬目錄里運行．再將創建的虛擬目錄刪除。這樣，殺毒軟件只能獲取該木馬運行的虛擬目錄，根據該目錄無法找到木馬文件。具體實現步驟如下：

    (1)首先利用Windows提供的subst命令給惡意程序

    實際存在的目錄賦驅動器符，例如G：，以磁盤驅動器符代替惡意程序實際存在的目錄名稱；

    (2)打開第一步所創建的虛擬驅動器，運行其中的惡意程序；

    (3)利用subst命令刪除第一步所創建的虛擬驅動器。

    3．2 “云查殺”通信欺騙

    針對該“云查殺”軟件對其上傳文件樣本未進行加密和校驗的安全缺陷，設計篡改上傳數據方案。該“云查殺”軟件采用HTTP協議上傳文件信息，HrrP頭部請求行包括請求方式、URI，和HTTP版本三項內容：

    POST ／file health info．php HTTP／1．1

    該請求行中URL固定不變，可以作為數據包過濾條件，因此可以利用在用戶層編寫服務提供者接口(serviceprovider interface，SPI)來hook系統SPl的方法截獲修改數據包內容。首先將注冊表中系統SPI的路徑保存，編寫新的具有截獲篡改網絡數據包功能的SPI，再將系統SPI路徑替換為新SPI路徑；當有Winsock調用發生時，系統首先找到新SPI并執行，新SPI再加載原先保存的系統SPI并得到系統SPI函數WSPSend，通過替換該WSPend函數來完成數據封包的截獲、修改與轉發。WSPStartup是Win—dows Sockets應用程序調用SPl的初始化函數，WSPSend函數替換過程即在WSPStartup函數體內完成。

    WSPStartup函數具體實現步驟如下：

    (1)根據參數IpProtocollnfo的協議信息棧找出服務提供者的D，根據D取出原先保存的系統SPI程序的路徑與文件名；

    (2)LOAdlibrary加載系統SPI，并通過GetProeAd—dress得到系統SPI的WSPStartup函數指針；

    (3)通過系統SPI的WSPStartup函數得到系統SPI的服務函數指針IpProcTable并保存；

    (4)將IpProcTable結構中的WSPSend函數指針設置為新的WSPSend函數，在新的WSPSend函數中實現數據包的修改與轉發。wSPSend函數具體實現步驟如下：

    (1)以HTTP頭部請求行中的URL為過濾條件，將符合條件的數據包內容保存，不符合條件的數據包調用系統SPI中的WsPSend函數直接轉發；

    (2)對于符合過濾條件的數據包，截取數據包中的壓縮數據部分(如圖2所示以“78 9C”開頭，以“0D 0A”結尾)，并采用Zlib解壓該數據段；

    (3)在解壓數據中依據木馬文件名查找該木馬記錄信息，將該條記錄(以“0A"結尾)中的hash部分替換為正常文件hash值，并將解壓修改后的數據重新壓縮；

    (4)將原數據包中的壓縮數據替換為修改后重新壓縮的數據，并計算數據包的數據部分長度，修改HTTP頭部Content～Length值；

    (5)調用系統SPI中的wSPsend函數轉發修改后的數據包。

    3．3斷網規避“云查殺”

    以上文中的斷網安全隱患分析為理論依據，設計斷網規避“云查殺”方案。直接將用戶網絡關閉而不讓用戶發覺非常困難，因為直接斷開網絡連接，狀態欄必然會提示網絡連接被禁用。而且網絡斷開后必須要在短時間內恢復，否則必然會引起用戶警覺。因此要做到短時間斷網并且不提示，修改IP地址是個很有效的辦法。具體步驟如下：

    (1)通過netsh dump命令導出當前網絡設置進行備份；

    (2)修改本地連接IP地址，例如修改為10．1．1．111；

    (3)IP修改成功后，運行惡意程序；

    (4)惡意程序成功運行后，通過netsh-f命令從備份文件中恢復網絡設置。

4 規避“云查殺”行為的防護建議

    針對文件路徑欺騙行為，殺毒軟件可以在獲得病毒木馬運行的虛擬目錄后，進一步獲取該虛擬目錄所對應的物理路徑。若無法獲取物理路徑，則可以根據病毒木馬的文件名搜索掃描磁盤，對病毒木馬的實際藏身之處進行定位。

    針對“云查殺”通信欺騙行為，殺毒軟件可以對上傳數據進行加密，加大破解分析數據包的難度，并對數據包內容進行校驗，防止惡意程序對數據包內容進行篡改。

    針對斷網規避“云查殺”的行為，殺毒軟件可以對用戶網絡配置進行監控，對修改用戶IP地址的行為發出提示告警；并針對“云查殺”對互聯網的依賴性，加強客戶端的分析處理技術，在無法連接服務器的情況下啟用傳統病毒查殺機制，能夠對木馬病毒進行有效地查殺。

5 結束語

    本文針對某“云查殺”軟件提出的規避方案主要是基于該“云查殺”客戶端在查找文件路徑和上傳文件樣本過程中存在的安全缺陷，這些安全缺陷產生的原因主要是由于該“云查殺”軟件并未獲得進程實際存在目錄，并且并未對上傳數據進行加密和校驗。針對上述安全缺陷，本文提出的幾點防護建議，對其它“云安全”檢測軟件也具有一定的借鑒參考作用。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：“云安全”檢測技術安全性分析

本文網址：http://www.guhuozai8.cn/html/consultation/1083978524.html