流量戰(zhàn)爭：騰訊智慧安全揭秘殺軟與病毒的對抗史

8月21日-8月22日，由中國互聯(lián)網(wǎng)協(xié)會、阿里巴巴集團、螞蟻金服、阿里云等單位共同主辦的“2018網(wǎng)絡(luò)安全生態(tài)峰會”在國家會議中心舉辦。本屆大會以“共建安全防線、共治安全環(huán)境、共享安全生態(tài)”為主題，邀請相關(guān)協(xié)會領(lǐng)導、工程院院士、國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)界知名人士分享觀點，希望匯眾智聚眾力，共同促進產(chǎn)業(yè)健康有序發(fā)展。

騰訊智慧安全技術(shù)專家徐超受邀參會，并發(fā)表題為《流量的戰(zhàn)爭：探尋安全軟件和惡意病毒的對抗史》的演講，分別從技術(shù)和傳播等對抗角度講解，分享騰訊安全在防御惡意軟件方面的實戰(zhàn)經(jīng)驗。徐超表示，隨著互聯(lián)網(wǎng)的普及度逐漸提高，流量劫持類黑產(chǎn)危害不容小覷。一方面，對被劫持流量的網(wǎng)站來說，網(wǎng)站訪問量將大大降級;另一方面，站在用戶角度來說，流量劫持不僅嚴重影響了原來產(chǎn)品的服務(wù)與體驗，甚至還會帶來一定的網(wǎng)絡(luò)安全隱患。因而，惡意軟件與安全軟件之間的對抗變得極為激烈。對此，他從傳播和技術(shù)兩方面對惡意軟件展開深度剖析。

七大病毒傳播階段：病毒“綜合實力”不斷上升

近年來，計算機病毒在傳播方式和途徑上呈現(xiàn)多樣化趨勢更加明顯。病毒的入侵主要來自蠕蟲病毒，集病毒、黑客、木馬等功能于一身的綜合型病毒不斷涌現(xiàn)，具備欺騙性增強、破壞方式更加多樣、傳播速度快、制作成本降低、變種增多、傳播更具不確定性和跳躍性、具有版本自動在線升級和自我保護能力、以及編制采用了集成方式的一系列特點。

徐超表示，病毒在傳播渠道上的對抗也經(jīng)歷了不小的變化，從病毒傳播的演變進程來看，總體經(jīng)歷了以下七個階段：直接進行階段、捆綁傳播、裝可憐、正規(guī)軟件做載體、云控傳播、Ghost傳播、以及燒主板。可以看出，病毒傳播呈現(xiàn)隱蔽性強、散布廣泛、危害性大等顯著特征。

同時，他詳細闡述了每一階段的技術(shù)特點和應對方法，如在云控傳播階段，病毒修改的主頁等信息全部存放在云端，均由云端來進行控制，常用的解決方案是利用威脅情報切斷C&C和常規(guī)防御等。

七大黑產(chǎn)技術(shù)特征：招數(shù)“詭計多端”前所未見

在徐超看來，黑產(chǎn)技術(shù)和反安全軟件的快速發(fā)展逐漸與安全軟件展開激烈的對抗。一方面是不法黑客基于主頁技術(shù)，圍繞注冊表、注冊表的對抗進階、快捷方式、假IE、第三方瀏覽器、Explorer的HOOK、以及其他的其他奇淫異巧等階段展開對抗。

以不法黑客利用Apache Struts2的高危漏洞攻擊大量企業(yè)web服務(wù)器為例，不法黑客利用攻擊工具WinStr045檢測網(wǎng)絡(luò)上存在漏洞的web服務(wù)器，通過遠程執(zhí)行各類指令進行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集，然后將用于下載的木馬mas.exe植入，進而利用mas.exe的木馬下載器從多個C&C地址下載更多木馬，給企業(yè)網(wǎng)站的安全構(gòu)成巨大的威脅。

另一方面是病毒與殺軟之間的對抗，主要體現(xiàn)在增強病毒自身的自保護能力及削弱殺軟的查殺能力兩個方面。其不僅利用MD5對抗、文件名對抗、搶早、重定向、隱藏自身、設(shè)置守護線程等方法增強病毒自身的自保護能力，而且還通過阻止聯(lián)網(wǎng)、針對性文件過濾攔截、刪除殺軟驅(qū)動注冊表服務(wù)項、刪除殺軟注冊表啟動組、rootkit回調(diào)注冊表、攔截安全軟件進程、以及隱藏安全軟件界面等方法來削弱殺軟的查殺能力。

在技術(shù)對抗中，頑固木馬由于具備隱蔽性高、破壞力強，且傳統(tǒng)查殺方式無法根除的技術(shù)特征，引發(fā)的威脅尤為嚴重。不法黑客通過構(gòu)造僵尸網(wǎng)絡(luò)、搶奪瀏覽器主頁、靜默推裝軟件等牟取到巨額利益，使普通網(wǎng)民的系統(tǒng)安全遭受嚴峻的安全威脅。

針對日益嚴峻的頑固木馬形式，騰訊智慧安全守護行業(yè)的同時，在用戶側(cè)也推出了相關(guān)的工具，例如騰訊電腦管家急救箱功能，通過深入系統(tǒng)底層，對病毒樣本高危行為進行精準攔截及查殺，實現(xiàn)頑固木馬徹底清除。當用戶發(fā)現(xiàn)電腦疑似中招頑固木馬，或者普通殺毒無法檢出或者清理時，使用該功能可對電腦成功實施“急救”。同時配合bootclean清除技術(shù)、rootkit通殺等功能，可對電腦中存在的頑固病毒、深度隱藏病毒而開發(fā)的病毒木馬徹底完成查殺。

除此以外，面對近年來頻發(fā)的勒索病毒、漏洞病毒、網(wǎng)絡(luò)詐騙等主流網(wǎng)絡(luò)攻擊手段，騰訊電腦管家不斷增強和完善文檔守護者、漏洞修復、詐騙信息查詢?nèi)蟀踩芰?，在深層的安全防護能力上將為用戶帶來更安全的使用體驗。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。