【51CTO.com 綜合消息】

1 需求分析

隨著計算機及通信技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)在帶給人們便利的同時，也給病毒、木馬的泛濫提供了溫床，給國家、政府、企業(yè)及個人都帶來了不可估量的損失。其中，木馬程序造成的危害更是非常巨大的，也是非常危險的惡意程序。它能使遠(yuǎn)程用戶獲得本地計算機的最高操作權(quán)限，使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象。

據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心抽樣監(jiān)測統(tǒng)計，2008年我國境內(nèi)感染木馬控制端的IP地址達到438，386個，感染木馬被控制的IP地址達到565，605個，發(fā)送立即郵件106次、實施信息竊取操作373次?！澳抉R與僵尸網(wǎng)絡(luò)監(jiān)測”已成為了被CNCERT列于“被篡改網(wǎng)站監(jiān)測、惡意代碼捕獲”之首的核心監(jiān)測項目。

木馬的大肆傳播泛濫已給國家造成了巨大損失，2009年5月，工業(yè)與信息化部下發(fā)了關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》的通知。采取了迄今為止最廣泛、最有力的機制措施。明確了相關(guān)主管機構(gòu)與廣大的互聯(lián)網(wǎng)用戶各自的責(zé)任和義務(wù)，規(guī)定了對木馬和僵尸網(wǎng)絡(luò)的“監(jiān)測和通報”、“處置和反饋”兩個主要流程及通報內(nèi)容。

國家保密局更是把“對互聯(lián)網(wǎng)的保密檢查、對特種木馬的檢測”作為當(dāng)前保密科技研究及保密檢查工作中需要關(guān)注的重點方向之一。
因此在日常網(wǎng)絡(luò)運行維護管理和定期的自檢自查中加強對木馬的監(jiān)測與評估，防止木馬竊取敏感信息，保護重要數(shù)據(jù)，已經(jīng)成為當(dāng)前信息網(wǎng)絡(luò)安全監(jiān)管或維護部門的重中之重。
#p#

2解決方案

木馬與合法程序的區(qū)別就在于木馬行為的隱蔽性和目的的惡意性。從這兩點區(qū)別入手，控制木馬植入、隱蔽和惡意操作行為所需要的資源條件，監(jiān)控木馬運行、通信、啟動的隱蔽行為和惡意操作，就可以對木馬的檢測和防范起到較為理想的效果。
鼎普科技積極跟蹤市場需求、木馬形勢和國家相關(guān)政策，自主研發(fā)了鼎普木馬監(jiān)測與評估系統(tǒng)，指在對已知或未知木馬進行監(jiān)測與評估，綜合分析木馬行為特征，與此同時，對木馬的最終目的——竊取關(guān)鍵信息進行分析判斷有無感染木馬或被竊取重要信息。
通常電腦逐臺查殺的檢查方式對于個人應(yīng)用來說，還是很方便的，但對信息安全監(jiān)管部門來說，這樣的方式卻是非常費時費力的，鼎普科技根據(jù)這一需求，開發(fā)了網(wǎng)絡(luò)木馬監(jiān)測與分析評估系統(tǒng)。該系統(tǒng)首先通過網(wǎng)絡(luò)監(jiān)測模塊掃描并分析網(wǎng)絡(luò)中的所有主機，并進行木馬特征分析與重要信息匹配，準(zhǔn)確判斷并定位出網(wǎng)絡(luò)中感染木馬的主機，然后再用單機檢測模塊去做深入檢查，從而可以大大的提高整個網(wǎng)絡(luò)中木馬檢測與分析的效率。

根據(jù)不同的應(yīng)用環(huán)境需求，鼎普科技提供了兩種形式的解決方案：檢查版木馬檢測方案與監(jiān)測版木馬檢測方案，分別用于隨機性檢查或長期性監(jiān)測、評估某個網(wǎng)絡(luò)中是否存在木馬病毒，其中檢查版由單機檢測模塊和網(wǎng)絡(luò)監(jiān)測模塊組成，而監(jiān)測版則以專用網(wǎng)絡(luò)監(jiān)測硬件平臺為載體，僅由網(wǎng)絡(luò)監(jiān)測模塊組成。

2.1快速探測的網(wǎng)絡(luò)木馬監(jiān)測模塊

網(wǎng)絡(luò)監(jiān)測模塊可以根據(jù)用戶需要，通過對網(wǎng)絡(luò)數(shù)據(jù)的實時采集，對IP源地址、目的地址進行分析從而有效的監(jiān)測網(wǎng)絡(luò)中存在的木馬，并進而準(zhǔn)確定位感染的主機，之后即可利用單機檢測模塊有針對性的對感染木馬電腦進行細(xì)致的檢測，以致清除。該模塊既可以安裝在筆記本上，也可以專用硬件平臺為載體，安裝在筆記本上并配以單機檢測模塊，提供靈活、便捷的木馬檢測技術(shù)手段，可以方便檢查部門隨時檢查某個網(wǎng)絡(luò)；以專業(yè)硬件平臺為載體，則可以長期部署在網(wǎng)絡(luò)上，實現(xiàn)對木馬的連續(xù)、實時監(jiān)測。圖1表示了監(jiān)測版木馬檢測系統(tǒng)的具體部署拓?fù)鋱D。
 

圖1 典型安全檢查綜合部署圖

由圖1可以看出，該網(wǎng)絡(luò)木馬檢測方案中，安裝在一臺專用設(shè)備上的網(wǎng)絡(luò)木馬監(jiān)測模塊部署在網(wǎng)絡(luò)出口交換機鏡像口或干路上，達到分析、判斷并定位感染終端主機、重要信息還原的目的。具體實現(xiàn)的功能如下：

木馬發(fā)現(xiàn)及報警阻斷：在監(jiān)測模塊中添入已知高危木馬的網(wǎng)絡(luò)特征，可以及時準(zhǔn)確的判別、阻斷該木馬的任何非法網(wǎng)絡(luò)傳輸，實時報警；

高危IP、域名連接、端口的實時報警和統(tǒng)計：緊密配合履行工信部印發(fā)的《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》中的要求，可通過系統(tǒng)管理界面按需加入工業(yè)與信息化部通報的木馬控制端IP地址、惡意域名、端口等信息，從而進行木馬匹配分析，分析出網(wǎng)絡(luò)中感染木馬的終端主機，獲得主機的IP和MAC地址，定位到終端；

敏感IP、域名連接的實時報警和統(tǒng)計：固化了鼎普對A、B、C類公用地址研究分析的IP地址分類庫；因此可以通過流經(jīng)總出口的數(shù)據(jù)包實時分析內(nèi)部某終端正在與美國、臺灣、韓國、日本、歐洲等國家的某IP進行連接，且該庫可以不斷升級壯大，由此得出感染終端；

特種木馬行為特征分析：通過設(shè)置IP地址嚴(yán)控的方式確定疑似木馬的連接行為；通過網(wǎng)絡(luò)連接端口來判斷連接是否由木馬生成，并發(fā)現(xiàn)網(wǎng)絡(luò)中的與控制相關(guān)的協(xié)議，并通過協(xié)議與端口的比對，發(fā)現(xiàn)偽裝協(xié)議通過合法端口來工作，如80端口復(fù)用的防火墻穿越技術(shù)；

未知木馬基于重要信息內(nèi)容的準(zhǔn)確判斷：對特征一無所知的未知木馬，通過設(shè)置關(guān)鍵字的方式控制終端傳輸行為并報警。對重要信息、被木馬惡意程序隱藏傳輸?shù)碾娮余]件及附件、圖片、文檔等進行還原處理，可用于檢查時確認(rèn)泄漏內(nèi)容的危害程度；如部署在網(wǎng)絡(luò)干路上可進行實時阻斷；

信息報文提取：自定義對重要信息進行篩選查閱。設(shè)置起始時間、結(jié)束時間、起始IP、結(jié)束IP、報文類型、應(yīng)用協(xié)議、任務(wù)ID、文件類型等來篩選數(shù)據(jù)信息，方便查閱。可以在本地硬盤上保存當(dāng)前選中的報文以便作更細(xì)致的分析。

輸出統(tǒng)計分析報表：一是快速導(dǎo)航檢測，用戶登錄系統(tǒng)管理界面后，只需點擊一鍵，報表清晰的顯示具體定位的感染終端；二是自定義檢測，可按檢查單位、部門、時間，準(zhǔn)確定位報表。

在通過網(wǎng)絡(luò)木馬監(jiān)測模塊的準(zhǔn)確定位后，即可使用單機木馬檢測模塊針對感染木馬的單機進行深度檢測了。
#p#

2.2深入分析的單機木馬檢測模塊

木馬隱蔽技術(shù)的發(fā)展使得木馬在目標(biāo)系統(tǒng)中越來越隱蔽，傳統(tǒng)的基于靜態(tài)特征的木馬檢測技術(shù)，面對已知木馬的各種隱蔽和變化檢測能力明顯不足，對于未知的木馬更是無能為力，具有根本性的缺陷。鼎普科技通過控制木馬的植入、隱蔽、惡意操作所需資源以防范木馬；通過監(jiān)控注冊表、文件和目錄、端口進程關(guān)聯(lián)和可疑調(diào)用行為、過濾分析網(wǎng)絡(luò)通信等來檢測木馬。圖2顯示了單機木馬檢測模塊的全部功能。
 

圖2 鼎普木馬監(jiān)測與評估系統(tǒng)功能

單機木馬檢測模塊以光盤或防病毒U盤為載體，重點實現(xiàn)功能如下：

1、靜態(tài)檢測：靜態(tài)木馬庫的對比，對已知的高危木馬進行匹配分析，檢測當(dāng)前高危木馬；

2、動態(tài)檢測：從木馬所要運行活動的幾個方面對未知木馬變種進行動態(tài)特征的深入分析：

• 啟動方式檢測——對可疑BHO、啟動文件、注冊表啟動項、異常服務(wù)、文件關(guān)聯(lián)方式等進行檢測，從程序、進程自啟動方面得到木馬的相關(guān)信息。
• 通信方式檢測——從通信方式來深度檢測，包括可疑打開端口、反彈端口、復(fù)用端口等。
• 文件系統(tǒng)檢測——對文件系統(tǒng)進行掃描，發(fā)現(xiàn)加殼文件及隱藏的文件和文件夾。
• 系統(tǒng)帳號檢測——木馬要竊取信息通常會先獲得管理員權(quán)限，因此對于系統(tǒng)中的帳號進行檢測，包括帳號所屬組、上次登錄時間、修改口令時間等，監(jiān)測有無被木馬添加的賬號信息。

3、智能分析：對可疑進程進行智能分析，評估檢測出的已知或未知木馬在一定時間內(nèi)的所有操作行為，如打開文件、寫文件、打包文件等來確定這些可疑進程是否為木馬。

4、報表審計：對終端一鍵檢測、靜態(tài)檢測、動態(tài)監(jiān)測及智能分析的結(jié)果生成統(tǒng)計審計報表信息。
#p#

3 優(yōu)勢效果分析

在當(dāng)前安全檢查木馬工作中，木馬檢查產(chǎn)品種類繁多，其多對常規(guī)木馬種類進行檢查，且檢查方式多為木馬庫對比或少許特征分析，相比之下鼎普木馬監(jiān)測與評估系統(tǒng)開拓創(chuàng)新，創(chuàng)造出了獨具特色的檢查評估平臺，優(yōu)勢重點體現(xiàn)在以下幾個方面：
針對性強，根據(jù)不同的行業(yè)特征，可進行關(guān)鍵字配置，針對竊取重要信息的高危木馬和未知木馬，實現(xiàn)準(zhǔn)確的靜態(tài)分析、敏銳的動態(tài)檢測及智能跟蹤分析；

建立完善的木馬檢測與評估體系，網(wǎng)絡(luò)與單機共同進行深度檢測評估，通過網(wǎng)絡(luò)檢測定位到終端，再對終端深度檢測與綜合分析評估，簡潔高效；

獨具特色的重要信息內(nèi)容檢查分析點，不論其為何種木馬，其最終目的都是想竊取重要信息，因此鼎普科技開創(chuàng)了特色的從信息內(nèi)容匹配、數(shù)據(jù)截獲、數(shù)據(jù)報文還原的終極檢測手段；

具有極強的擴展能力和自身提升能力，整個監(jiān)測與評估系統(tǒng)構(gòu)成了一個完整的閉環(huán)循環(huán)系統(tǒng)，先是網(wǎng)絡(luò)上進行木馬特征和信息內(nèi)容分析，定位感染終端；再到終端上進行木馬活動特性動態(tài)匹配智能分析，定位木馬；最后由定位出的木馬特征加入到網(wǎng)絡(luò)監(jiān)測模塊中，便于以后的木馬監(jiān)測與評估，這就構(gòu)成能夠不斷自我成長壯大，自我提升的木馬監(jiān)測與評估平臺；
自身防木馬病毒能力強、適應(yīng)多樣的應(yīng)用環(huán)境，并具有極高的兼容性和操作簡單便捷性；通過光盤或防病毒U盤載體保障木馬監(jiān)測程序的安全性。
#p#

4 結(jié)束語

鼎普科技憑借對計算機病毒多年來的研究分析，采用靜態(tài)匹配與動態(tài)分析相結(jié)合、網(wǎng)絡(luò)檢測與單機檢測相結(jié)合的獨特檢測方式，可以有效的批量檢測出網(wǎng)絡(luò)中感染木馬的終端主機，并進而實施單機深度木馬檢測，是一種非常簡潔高效的木馬檢測綜合解決方案。

木馬進入新經(jīng)濟時代后，網(wǎng)絡(luò)的提速讓木馬更加的泛濫，如何通過千變?nèi)f化的木馬形式分析出其編制的根本，并開發(fā)出有效的檢測軟件，這將是一項長期的任務(wù)。鼎普科技將不斷研究新情況，解決新問題，密切關(guān)注防病毒領(lǐng)域的未來走向，為業(yè)界提供更安全更可靠更高效的解決思路。