流量戰(zhàn)爭(zhēng)：騰訊智慧安全揭秘殺軟與病毒的對(duì)抗史

8月21日-8月22日，由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、阿里巴巴集團(tuán)、螞蟻金服、阿里云等單位共同主辦的“2018網(wǎng)絡(luò)安全生態(tài)峰會(huì)”在國(guó)家會(huì)議中心舉辦。本屆大會(huì)以“共建安全防線、共治安全環(huán)境、共享安全生態(tài)”為主題，邀請(qǐng)相關(guān)協(xié)會(huì)領(lǐng)導(dǎo)、工程院院士、國(guó)內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)界知名人士分享觀點(diǎn)，希望匯眾智聚眾力，共同促進(jìn)產(chǎn)業(yè)健康有序發(fā)展。

騰訊智慧安全技術(shù)專家徐超受邀參會(huì)，并發(fā)表題為《流量的戰(zhàn)爭(zhēng)：探尋安全軟件和惡意病毒的對(duì)抗史》的演講，分別從技術(shù)和傳播等對(duì)抗角度講解，分享騰訊安全在防御惡意軟件方面的實(shí)戰(zhàn)經(jīng)驗(yàn)。徐超表示，隨著互聯(lián)網(wǎng)的普及度逐漸提高，流量劫持類黑產(chǎn)危害不容小覷。一方面，對(duì)被劫持流量的網(wǎng)站來(lái)說(shuō)，網(wǎng)站訪問(wèn)量將大大降級(jí);另一方面，站在用戶角度來(lái)說(shuō)，流量劫持不僅嚴(yán)重影響了原來(lái)產(chǎn)品的服務(wù)與體驗(yàn)，甚至還會(huì)帶來(lái)一定的網(wǎng)絡(luò)安全隱患。因而，惡意軟件與安全軟件之間的對(duì)抗變得極為激烈。對(duì)此，他從傳播和技術(shù)兩方面對(duì)惡意軟件展開深度剖析。

七大病毒傳播階段：病毒“綜合實(shí)力”不斷上升

近年來(lái)，計(jì)算機(jī)病毒在傳播方式和途徑上呈現(xiàn)多樣化趨勢(shì)更加明顯。病毒的入侵主要來(lái)自蠕蟲病毒，集病毒、黑客、木馬等功能于一身的綜合型病毒不斷涌現(xiàn)，具備欺騙性增強(qiáng)、破壞方式更加多樣、傳播速度快、制作成本降低、變種增多、傳播更具不確定性和跳躍性、具有版本自動(dòng)在線升級(jí)和自我保護(hù)能力、以及編制采用了集成方式的一系列特點(diǎn)。

徐超表示，病毒在傳播渠道上的對(duì)抗也經(jīng)歷了不小的變化，從病毒傳播的演變進(jìn)程來(lái)看，總體經(jīng)歷了以下七個(gè)階段：直接進(jìn)行階段、捆綁傳播、裝可憐、正規(guī)軟件做載體、云控傳播、Ghost傳播、以及燒主板?？梢钥闯?，病毒傳播呈現(xiàn)隱蔽性強(qiáng)、散布廣泛、危害性大等顯著特征。

同時(shí)，他詳細(xì)闡述了每一階段的技術(shù)特點(diǎn)和應(yīng)對(duì)方法，如在云控傳播階段，病毒修改的主頁(yè)等信息全部存放在云端，均由云端來(lái)進(jìn)行控制，常用的解決方案是利用威脅情報(bào)切斷C&C和常規(guī)防御等。

七大黑產(chǎn)技術(shù)特征：招數(shù)“詭計(jì)多端”前所未見(jiàn)

在徐超看來(lái)，黑產(chǎn)技術(shù)和反安全軟件的快速發(fā)展逐漸與安全軟件展開激烈的對(duì)抗。一方面是不法黑客基于主頁(yè)技術(shù)，圍繞注冊(cè)表、注冊(cè)表的對(duì)抗進(jìn)階、快捷方式、假IE、第三方瀏覽器、Explorer的HOOK、以及其他的其他奇淫異巧等階段展開對(duì)抗。

以不法黑客利用Apache Struts2的高危漏洞攻擊大量企業(yè)web服務(wù)器為例，不法黑客利用攻擊工具WinStr045檢測(cè)網(wǎng)絡(luò)上存在漏洞的web服務(wù)器，通過(guò)遠(yuǎn)程執(zhí)行各類指令進(jìn)行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集，然后將用于下載的木馬mas.exe植入，進(jìn)而利用mas.exe的木馬下載器從多個(gè)C&C地址下載更多木馬，給企業(yè)網(wǎng)站的安全構(gòu)成巨大的威脅。

另一方面是病毒與殺軟之間的對(duì)抗，主要體現(xiàn)在增強(qiáng)病毒自身的自保護(hù)能力及削弱殺軟的查殺能力兩個(gè)方面。其不僅利用MD5對(duì)抗、文件名對(duì)抗、搶早、重定向、隱藏自身、設(shè)置守護(hù)線程等方法增強(qiáng)病毒自身的自保護(hù)能力，而且還通過(guò)阻止聯(lián)網(wǎng)、針對(duì)性文件過(guò)濾攔截、刪除殺軟驅(qū)動(dòng)注冊(cè)表服務(wù)項(xiàng)、刪除殺軟注冊(cè)表啟動(dòng)組、rootkit回調(diào)注冊(cè)表、攔截安全軟件進(jìn)程、以及隱藏安全軟件界面等方法來(lái)削弱殺軟的查殺能力。

在技術(shù)對(duì)抗中，頑固木馬由于具備隱蔽性高、破壞力強(qiáng)，且傳統(tǒng)查殺方式無(wú)法根除的技術(shù)特征，引發(fā)的威脅尤為嚴(yán)重。不法黑客通過(guò)構(gòu)造僵尸網(wǎng)絡(luò)、搶奪瀏覽器主頁(yè)、靜默推裝軟件等牟取到巨額利益，使普通網(wǎng)民的系統(tǒng)安全遭受嚴(yán)峻的安全威脅。

針對(duì)日益嚴(yán)峻的頑固木馬形式，騰訊智慧安全守護(hù)行業(yè)的同時(shí)，在用戶側(cè)也推出了相關(guān)的工具，例如騰訊電腦管家急救箱功能，通過(guò)深入系統(tǒng)底層，對(duì)病毒樣本高危行為進(jìn)行精準(zhǔn)攔截及查殺，實(shí)現(xiàn)頑固木馬徹底清除。當(dāng)用戶發(fā)現(xiàn)電腦疑似中招頑固木馬，或者普通殺毒無(wú)法檢出或者清理時(shí)，使用該功能可對(duì)電腦成功實(shí)施“急救”。同時(shí)配合bootclean清除技術(shù)、rootkit通殺等功能，可對(duì)電腦中存在的頑固病毒、深度隱藏病毒而開發(fā)的病毒木馬徹底完成查殺。

除此以外，面對(duì)近年來(lái)頻發(fā)的勒索病毒、漏洞病毒、網(wǎng)絡(luò)詐騙等主流網(wǎng)絡(luò)攻擊手段，騰訊電腦管家不斷增強(qiáng)和完善文檔守護(hù)者、漏洞修復(fù)、詐騙信息查詢?nèi)蟀踩芰?，在深層的安全防護(hù)能力上將為用戶帶來(lái)更安全的使用體驗(yàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。