【51CTO.com 綜合消息】自03年SARS以來，類似這種具備廣泛傳染性的病毒事件屢見不鮮，從禽流感再到現(xiàn)在的甲型H1N1，可謂“一波未平，一波又起”。

筆者于2003年寫過一篇“從SARS看網(wǎng)絡(luò)安全預(yù)警與應(yīng)急保障體系”,主要談的是面對類似SARS這種突發(fā)的網(wǎng)絡(luò)安全事件中檢測、預(yù)警、應(yīng)急體系的粗淺思路，而時隔6年，網(wǎng)絡(luò)安全的總體形勢在發(fā)生變化，目前的主要威脅方式從入侵攻擊、網(wǎng)絡(luò)蠕蟲轉(zhuǎn)向主要通過網(wǎng)頁掛馬等方式傳播木馬，構(gòu)建地下掛馬產(chǎn)業(yè)鏈，竊取機密文件、隱私信息、各種帳號從而謀取暴利，并組建僵尸網(wǎng)絡(luò)，發(fā)動群體攻擊，嚴重威脅著互聯(lián)網(wǎng)的生存和發(fā)展。在甲流肆虐的今天，筆者想談?wù)勥@一事件對于木馬檢測防范的啟示。

一、木馬和流感病毒之間的類比

根據(jù)衛(wèi)生專家的定義，甲型H1N1流感病毒屬于病毒家族中正黏液病毒科，可以分為l5個H亞型。 流感病毒的一大特性就是多變性。如果人流感病毒和禽、豬流感病毒經(jīng)過抗原轉(zhuǎn)換形成新的人類流感病毒毒株，就可以在人與人之間傳播。人群對這種新的病毒毒株沒有免疫力。本次北美發(fā)現(xiàn)的A/H1N1病毒就具有來自豬、禽類和人類的基因片段，因此防范這種病毒還是有比較大的挑戰(zhàn)性。

木馬一詞源自于古希臘著名的特洛伊戰(zhàn)爭?，F(xiàn)代計算機中對于木馬的定義是：木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序，它的運行遵照TCP/IP協(xié)議，由于它像間諜一樣潛入用戶的電腦，為其他人的攻擊打開后門，與戰(zhàn)爭中的“木馬”戰(zhàn)術(shù)十分相似，因而得名木馬程序。

根據(jù)木馬程序?qū)τ嬎銠C的具體控制動作方式，可以把現(xiàn)存的木馬程序分為以下的幾類：

1．遠程訪問型木馬

遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發(fā)射一個“截取屏幕”等等。這種類型的木馬有著名的BO（Back Office）、國產(chǎn)的冰河等。

2．密碼發(fā)送型木馬

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。

3．鍵盤記錄型木馬

鍵盤記錄型木馬只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動而啟動，記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。

4．毀壞型木馬

大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機上所有的.dll或.ini或.exe文件，甚至遠程格式化受害者硬盤。毀壞型木馬的危害很大，一旦計算機被感染而沒有即時刪除，系統(tǒng)中的信息會在頃刻間灰飛煙滅。

5．開啟后門型木馬

如：FTP型木馬就是打開被控制計算機的21端口 （FTP所使用的默認端口）， 使每一個人都可以用一個FTP 客戶端程序來不用密碼連接到受控制端計算機，并且可以進行最高權(quán)限的上傳和下載，竊取受害者的機密文件。

6．下載型木馬

下載型木馬是近年來出現(xiàn)一種新型木馬，本身不對電腦做破環(huán)，但該木馬一旦執(zhí)行，會在瞬間下載上百個木馬，就象蝗災(zāi)來襲時那樣鋪天蓋地。這些木馬以“集群作戰(zhàn)”的方式，從各個途徑徹底破壞用戶電腦安防體系。木馬下載器具有很強的驅(qū)動級自我保護能力，可以讓殺毒軟件的普通查殺模式全都失效，并且傳播途徑非常廣泛，目前主要方式是通過網(wǎng)頁掛馬的方式來進行。

結(jié)合H1N1的流感病毒和木馬的特點，我們可以清楚看到它們的相同點和不同點。

相同點： 

◆木馬和流感病毒都是獨立存在的個體。 

◆對于植入對象有明確的危害性。 

◆被植入對象都能夠表現(xiàn)出一定癥狀。

不同點： 

◆流感病毒具備自繁殖性和自動感染，因此危害比較大，而木馬本身不具備繁殖性和自動感染的功能，只能依賴木馬作者或獲取源代碼的人進行變種，并通過網(wǎng)頁掛馬、社會工程或結(jié)合蠕蟲等方式擴大傳播面。 

◆流感病毒源自于自然界，形成機理比較復(fù)雜，涉及到醫(yī)學(xué)、病毒學(xué)、基因?qū)W等多個層面，目前還需要進一步研究。而木馬完全源自人為，形成模式有規(guī)律可循。 #p#

二、防治流感病毒和木馬檢測防范的異同

1．檢測思路的異同

從SARS防治的成功經(jīng)驗來看，防范流感病毒的的首要條件就是及時發(fā)現(xiàn)疑似病例。具體的方式就是國家的高度重視，同時配合廣泛的媒體宣傳和報道。對于這種輸入型的流感病毒，加強機場、出入境人員的檢查和事后的人員追查。在醫(yī)院專門設(shè)置發(fā)熱門診，進行有效過濾。這些都是從管理措施來提升檢測的有效性。而另一個層面，從發(fā)現(xiàn)疑似病例到確診這個階段，就是純技術(shù)層面的了。從檢測模式來看，基本可以歸為如下流程：發(fā)現(xiàn)確診案例后提取其相關(guān)的樣本，經(jīng)過專門的檢測機構(gòu)進行一系列提取、分離等動作，并配合基因測定等方式，最終確定病毒樣本，然后再進入到耐藥性等一系列測試，以發(fā)現(xiàn)有效抗病毒的藥物。

現(xiàn)在的木馬的檢測流程與這個過程有非常相似的地方，安全廠商及相關(guān)的實驗室、研究機構(gòu)通過截取、用戶主動上報等方式獲得新的木馬樣例，經(jīng)過內(nèi)部的脫殼、反編譯等分析手段，發(fā)現(xiàn)木馬的特征碼，然后發(fā)布檢測和清除方法。

如果說兩者的不同點，還在于獲取樣本和分析周期上。相比較而言，對于單個木馬的分析和特征提取比分析單個流感病毒更容易一些，投入相對小，分析周期快。但是從新樣本增加的趨勢來看，新型木馬出現(xiàn)的數(shù)量、頻度遠高于新型流感病毒出現(xiàn)的數(shù)量、頻度，2008年新增木馬的數(shù)量是27.6萬個，比2007年相對上升了5.6%，這個數(shù)字相當?shù)捏@人。

2．檢測思路面臨的困境

流感病毒源自于自然界?？茖W(xué)發(fā)展到現(xiàn)在，雖然有了非常大的進步，但人類對于自然界的了解和掌控還只是前進了一小步。因此，對于流感病毒的及時檢測發(fā)現(xiàn)注定存在一定的缺陷，我們很難在這個方面取得質(zhì)的突破。

同樣，對于新型木馬檢測目前在業(yè)界已經(jīng)成了一個難題。在2000年初，傳統(tǒng)的防病毒廠商在宣傳產(chǎn)品優(yōu)勢的時候，木馬樣本庫還是廠商重點宣傳的指標，可以達到上萬個。但是到了現(xiàn)在，木馬的數(shù)量發(fā)展速度已經(jīng)遠遠超出了防病毒廠商的特征庫更新能力。不管防病毒廠商的收費模式如何變化，電腦用戶的對于病毒廠商的抱怨越來越大，信任度也越來越低，以致于出現(xiàn)“殺毒軟件”是否應(yīng)該免費的巨大爭論，傳統(tǒng)的防病毒廠商面臨著生存困境。究其根本原因，其實是防病毒廠商的傳統(tǒng)檢測機制出了問題。由于木馬的二進制屬性和互聯(lián)網(wǎng)的普及，木馬的變化、新增能力遠遠超過自然界的病毒生物屬性的變化能力。傳統(tǒng)的檢測模式就像“黑客帝國”一樣，演變?yōu)槭且粓鋈撕蜋C器人之間的戰(zhàn)爭。這是一場不對等的戰(zhàn)役，幾乎沒有勝利的可能。不轉(zhuǎn)變檢測思路，木馬泛濫的問題是無法解決的。 #p#

三、如何尋求檢測思路的突破

不論是應(yīng)對H1N1流感病毒還是網(wǎng)絡(luò)安全中的木馬問題，從理論角度來看都是可以用現(xiàn)有的動態(tài)安全模型PDR(Protect+Detection+Response)來考慮。

對于流感病毒，經(jīng)過SARS的教訓(xùn)和經(jīng)驗總結(jié)，我們在防御、檢測、響應(yīng)三個層面都已經(jīng)有了很大的提升。首先，醫(yī)院的治療條件在不斷提高，中國的第一例HIN1患者成功出院就是證明。其次，在響應(yīng)層面，對于這種事件從世衛(wèi)組織到國家的各級政府、衛(wèi)生防疫部門都建立起了應(yīng)急響應(yīng)機制和預(yù)案，也沒有問題。唯一要提高的是檢測速度，但是至少檢測體系也初步建立起來，重點是在傳播環(huán)境去及時布控和發(fā)現(xiàn)。

對于木馬檢測思路的突破，其實也主要體現(xiàn)在以下三個環(huán)節(jié)：

一是如何在傳播鏈上及時發(fā)現(xiàn)木馬。鑒于目前主流的木馬傳播方式是通過網(wǎng)頁掛馬模式，有必要對網(wǎng)頁掛馬的概念做一下闡述。網(wǎng)頁掛馬，其實并不是真的把木馬放到合法網(wǎng)站上，而是在合法網(wǎng)站的網(wǎng)頁上嵌入一段隱藏的惡意代碼或腳本，當瀏覽網(wǎng)站的用戶在訪問網(wǎng)站時，這段代碼或腳本在后臺被執(zhí)行，使得用戶的計算機在不知不覺中到黑客控制的網(wǎng)站中下載了木馬文件，從而被木馬控制利用。據(jù)調(diào)查，2008年在遭受木馬攻擊的用戶中，有53%的是通過網(wǎng)頁掛馬方式中招，而且這種比例在不斷增加。可見，網(wǎng)站在木馬傳播鏈中起到非常關(guān)鍵的作用。因此，必須加強對網(wǎng)站的主動監(jiān)查，一旦發(fā)現(xiàn)被掛馬，及時采取措施，可以確保木馬的危害面減?。煌瑫r通過檢測掛馬可以向上追溯，發(fā)現(xiàn)托管木馬的惡意網(wǎng)站，及時查封并找到木馬上傳人員、木馬制作人員，通過法律手段來進行管控。

二是如何及時判別新的木馬和應(yīng)對木馬變種?；谔卣鳈z測的傳統(tǒng)方式由于數(shù)量急劇膨脹，必然帶來檢測效果的滯后性，無法滿足當前形勢了。如果我們轉(zhuǎn)換一種思路來看木馬產(chǎn)生的本原，可能豁然開朗。木馬是人用計算機語言來編寫的，因此木馬無論如何變化不會逃出人已知的范疇。木馬要在計算機中運行，執(zhí)行木馬制作者的目的，就會有相應(yīng)的行為和動作，而這種行為和動作是可以進行總結(jié)歸納的，歸納后形成的檢測規(guī)則就可以來指導(dǎo)木馬檢測。這和通過一個一個積累特征方式形成特征庫的相比完全不在一個數(shù)量級。

三是檢測支撐平臺選擇上的思路轉(zhuǎn)變。醫(yī)學(xué)上對于一種病毒的檢測分析往往會采用活體實驗的方式，但是不可能在人身體上實驗，通常就是選擇小白鼠。但是木馬不同于生物病毒，對人體沒有危害，我們可以通過現(xiàn)在流行的虛擬化技術(shù)來模擬實際計算機運行環(huán)境，在這個我們稱為“沙箱”中來進行木馬采樣和充分分析，而且即使有危害也不會擴散，很容易恢復(fù)。這一點和目前的一些廠商不一樣，這些廠商為了拓寬木馬的采集，是通過在實際網(wǎng)絡(luò)計算機上來發(fā)現(xiàn)新的樣本，似乎有把用戶當“小白鼠”之嫌，并有可能獲得用戶的一些隱私信息，筆者認為有不可取之處。

同樣，對于木馬的整體防范體系來說，單從木馬檢測技術(shù)層面也不能完全解決，需要配合其它安全產(chǎn)品和技術(shù)，并做好組織保障和應(yīng)急預(yù)案。做為信息安全的領(lǐng)航者，啟明星辰也有全面的解決思路。 #p#

四、檢測、防御、響應(yīng)——360度網(wǎng)站安全解決方案

以網(wǎng)站安全為例，當前網(wǎng)站主要存在如下的風(fēng)險。結(jié)合PDR模型，我們不難發(fā)現(xiàn)P、D、R都存在著一些問題。 

圖1

1．網(wǎng)站防護脆弱：防不住SQL注入、XSS等網(wǎng)站常見的攻擊。

2. 網(wǎng)站缺乏對安全漏洞、網(wǎng)頁掛馬的發(fā)現(xiàn)機制：往往是網(wǎng)站發(fā)生損失和利用造成傷害后才發(fā)現(xiàn)被入侵。

3. 響應(yīng)對象不完整：由于缺乏有效的檢測，很多網(wǎng)站有事故才響應(yīng)，不知道有安全漏洞和入侵存在，自然沒有及時響應(yīng)，直至損失被發(fā)現(xiàn)才有響應(yīng)，甚至響應(yīng)也僅僅停留在恢復(fù)層面，而沒有解決導(dǎo)致入侵存在的安全問題。

啟明星辰是以網(wǎng)站安全360的視角來實施解決之道。根據(jù)這一視角，就需要一個不僅僅是簡單，而且要完整的安全措施來對應(yīng)上述這些問題。這一措施必須能夠分別加強網(wǎng)站的防御、檢測、響應(yīng)的質(zhì)量，一方面加強防御，提升有效防護的時間（Pt），一方面縮小Dt（檢測的時間）和Rt（響應(yīng)的時間）。分解了每部分的安全需求，就可以使用明確的安全措施來完善網(wǎng)站安全。

根據(jù)網(wǎng)站安全360視角，國內(nèi)信息安全領(lǐng)域的領(lǐng)軍企業(yè)啟明星辰，提供了完善解決網(wǎng)站安全的產(chǎn)品及服務(wù)，從防護、檢測、響應(yīng)三個方面入手，讓網(wǎng)站安全變得更簡單。據(jù)介紹，網(wǎng)站安全360包括三大部件：檢測部件（安星服務(wù)）、防御部件（天清IPS）和響應(yīng)部件（源代碼審計和應(yīng)急響應(yīng)服務(wù)）。

1.檢測部件

安星，是被稱為網(wǎng)站安全體檢專家的服務(wù)。它是啟明星辰基于安全檢測技術(shù)成果和專業(yè)遠程監(jiān)控安全服務(wù)團隊，為客戶互聯(lián)網(wǎng)網(wǎng)站的WEB頁面進行遠程安全檢查的有償服務(wù)，包括檢查網(wǎng)頁掛馬和網(wǎng)站漏洞兩種可選項目。服務(wù)的過程將經(jīng)過三個層次篩選，第一層是自動化的網(wǎng)頁異常搜索，通過遠程搜索發(fā)現(xiàn)網(wǎng)頁異常；第二層進行精確篩選，排除肯定不是攻擊的部分；第三層是專業(yè)人員的人工審查，確定漏洞或掛馬存在的位置、形態(tài)、功能等并形成可視化報告。

2.防御部件

天清IPS，被稱為WEB應(yīng)用入侵防御系統(tǒng)，是專門針對WEB網(wǎng)站攻擊進行優(yōu)化的入侵防御產(chǎn)品。天清IPS是一個硬件設(shè)備，通常透明串行模式部署于網(wǎng)站前端，此產(chǎn)品運用了一套啟明星辰的專利算法，因此成為目前為數(shù)不多能夠做到精確阻斷SQL注入攻擊、XSS跨站腳本攻擊的IPS產(chǎn)品，有效防范利用WEB漏洞的入侵網(wǎng)站并實施網(wǎng)頁掛馬、種植木馬后門。

3.響應(yīng)部件

源代碼審計和應(yīng)急響應(yīng)服務(wù)，對網(wǎng)站應(yīng)用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除，同時可以選擇白盒測試、黑盒測試對網(wǎng)站相關(guān)的安全源代碼進行檢查，找出源代碼方面的問題，獲得源代碼問題所在以及安全修復(fù)建議或修改服務(wù)。該類服務(wù)由啟明星辰國家級實驗室的專業(yè)攻防技術(shù)團隊（ADLAB）提供支持。一些缺乏專業(yè)外援團隊的重要網(wǎng)站，能夠通過這個專業(yè)團隊的服務(wù)來強化網(wǎng)站系統(tǒng)的安全源代碼設(shè)計，加強系統(tǒng)自身的安全性。

有了網(wǎng)站安全360各個部件發(fā)揮的作用，我們就可以降低網(wǎng)站入侵造成的損失。各部件作用如下圖所示： 

圖1

作為國內(nèi)信息安全領(lǐng)域的旗艦企業(yè)，啟明星辰在2009年通過一系列的產(chǎn)品和服務(wù)，將網(wǎng)站安全治理工作效率推向了一個新的高度，將防御產(chǎn)品、檢測、修復(fù)服務(wù)相結(jié)合，運用更加簡單而有效的方式強化網(wǎng)站自身的安全性，防范木馬攻擊，促進WEB業(yè)務(wù)應(yīng)用的健康發(fā)展。

五、展望

流感病毒侵襲人類是很正常的事情，H1N1爆發(fā)也就有其必然性的。通過技術(shù)手段是可以控制SARS、天花等病毒，但這并不意味著人類在大自然中能所向披靡。 H1N1事件，時刻提醒人類在和病毒的斗爭中不可大意。自然界的神秘莫測使我們無法控制新病毒不出現(xiàn)，但是我們可以通過良好的衛(wèi)生生活習(xí)慣、完善的公共防疫體系和科學(xué)技術(shù)的突破來控制流感病毒的傳播，降低流感病毒造成的危害，最終形成對流感病毒的免疫力。

互聯(lián)網(wǎng)也是攻擊事件和木馬的孳生之地，既然我們應(yīng)用了網(wǎng)絡(luò)，也就無法不承受黑客、木馬的攻擊，而且攻擊者往往會利用熱點事件來集中攻擊。如：受甲型H1N1流感事件影響，各類健康專題網(wǎng)站、地方衛(wèi)生局類網(wǎng)站的關(guān)注度和訪問量都持續(xù)攀升，也因此成為商業(yè)黑客選擇攻擊的目標。因此，及時發(fā)現(xiàn)和防范掛馬、新型木馬會是一個持久性的話題，這就需要安全從業(yè)人員不妨用跨界思維來拓寬思路，加強研究，打造一個全新的木馬檢測防范體系。