浅谈互联网时代下的安全挑战

浅谈互联网时代下的安全挑战

恶意代码是命令和命令，未经计算机、个人数字助理或其他信息设备的授权执行的。恶意代码包括蠕虫、病毒、特洛伊木马、Root-Kit。恶意代码可直接删除文件、加密文件、停止正常服务进程、破坏系统、格式化磁盘，对计算机系统的完整性和可靠性构成重大威胁，同时给企业带来了重大的安全隐患，诸如个人隐私泄露和关键业务数据泄露等。1．2病毒类型恶意程序通常会未经计算机用户许可自行更改计算机、破坏计算机或者违反计算机用户的意愿使用计算机。木马和病毒统称为恶意程序，木马的特征是从程序表面看上去有用或无害，但它往往包含了旨在利用或损坏信息系统的隐藏代码。病毒的特点是自行传播，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。典型恶意代码类型如表1所示：(1）可执行文件型。存在的形式是.EXE/.SYS后缀名的可执行文件，是典型的伴随性病毒，当文件被感染时会生成与可执行文件名称相同的.COM后缀文件，当执行该程序时先启动的是.COM名的文件，然后.COM文件调用.EXE/.SYS格式文件，特征是它会开启计算机系统进程，可能是单个进程或者是多个进程，但往往权限比较小，已知的.batcom/.Exe后缀名的通常是可执行文件病毒：（2）动态链接库型。表现为会感染.dll后缀名的文件，被感染的dll自身是无法运行的，但当可执行程序调用被感染的Dll动态链接库时，恶意程序将会启动，计算机系统感染该病毒后最大的特征是不停的下载安装未知程序，计算机的运行处理速度也随之变慢，已知的Lpk.dlL就是就是Dll病毒：（3）引导型。引导型病毒又称磁盘引导病毒，通过绕过Windows操作系统的故障安全检查机制感染Master开机记录、磁盘主开机记录，最大的特征是预先存储在引导区，监视系统运行，伺机传染和破坏，已知的Bootkit病毒就是引导病毒：（4）宏病毒。英文名称MicroVirus，是利用MicrosoftOffice的开放性，即利用Office中提供的BASIC编程接口传播，传染对象是Word、Excel、Access、PowerPoint，这种病毒可以通过DOC文档和DOT模板进行自我复制和传播，一旦该病毒被激活，它会感染计算机系统，并永久驻守在Normal模板上，特点是传播极快，制作、变种简单，破坏性极强，已知的TaiwanNo.1就是宏病毒：（5）硬件固化型。常常被用在社会工程学上，如黑客会通过寄送U盘的方式植入客户计算机系统，表现为将恶意程序事先固化在可移动磁盘上，特点是当可移动磁盘接入计算机时恶意代码会写入系统，已知的incaseformat蠕虫病毒就是硬件固化型病毒：（6）脚本型。是目前最流行的计算机病毒，通常利用网络介质和其他文档一起发送给目标计算机进行传播和破坏，脚本病毒的源代码可读性很强，可在任意的目标计算机上释放执行，特点是破坏性强、传播速度快、变种类型多、代码编写简单，它的前缀通常是Script/Js/VBS，已知的Script.Redlof/VBS.Happytime等就是脚本型病毒：（7）内核驱动型。Root-Kit就是其中一种，通常他的安装简单且能产生惊人的结果，当它获得管理权限后可以在计算机系统上安装许多功能程序或OS内核的特殊模块，Root-Kit可以隐藏自身、通信网络、注册表、文件目录、用户和进程等，且能擦除侵入痕迹，它的工作机制是入侵系统→提升权限→屏蔽策略→藏匿→破坏系统资源，由于Root-Kit在隐藏文件方面非常的高效，因此它也经常能够成功地躲过即使是最强大的杀毒软件的查杀，已知的Root-kit病毒有RootKit.Rootkit.7e5等。Root-Kit的配置文件：[GLOBAL]#下面为配置内容2传统检测方法2.1n党建程序组织文件（noa)是否被感染(1）内容比较法。受感染的文件或系统必然会有版本和内容的变化，可以检查文件的变更时间和文件系统的所有者来发现文件系统是否被感染：（2）外观检测法。检查计算机屏幕显示、声音、文件、程序、系统、打印机、驱动软件以及外部设备是否有异常情况：（3）可移动磁盘写入检测。固化恶意代码的可移动磁盘通常会将Auto-Run.inf写入计算机系统，检查计算机系统是否存在该文件来判定计算机系统是否被感染：（4）异常进程检测。检测使CPU、内存使用率居高不下的异常进程，使用率最高时能达到100%，计算机也会因资源用尽而停止服务：（5）宏病毒检测。检索Normal.dot文件中是否存在AutoOpen、AutoClose、AutoNew的自动宏来判定是否被感染：（6）脚本语言恶意代码检测。先确定目标脚本是什么语言编写的，再判断其语言是否被重新定义成脚本病毒。脚本病毒语言的组成部分包括：运算符（如“+”，“=”等），标识符（如“x1”，“y2”等），定界符（如“{....}”，“BEGIN...END”等），关键字（如“IF...THEN”，“GOTO”等），数字，空格等，可以从它的IF和THEN之间的条件指向判定它的行为：（7)Root-Kit检测。检测流量通常可以判定计算机向哪些外部接口发送数据，从而判定是否存在Root-Kit后门，uf06a检测网络进出的所有流量：uf06b使用Netcat工具连接异常流量接口，根据接口返回的信息判定是否是正常服务，如果是Root-Kit后门，则需要制作一个U盘启动工具，工具里面安装Root-KitRevealer、Vice及F-Secure的Blacklight工具进行检测。2.2代码样本库检测签名扫描法是使用最多的方法之一，该技术被应用于国内大多数单机或集中检测查杀系统，系统内置已知恶意代码样本库，是目前公认开销最小且使用最广泛的技术，它的检测流程是：uf06a病毒库内置已知病毒样本：uf06b采集并提取病毒样本中特征代码：uf06c将特征代码纳入病毒特征数据库：uf06d检查文件中是否含有病毒数据库中的病毒特征代码：uf06e出现新病毒后，重复第uf06a-uf06c步。2.3计算机病毒分析用软件方法模拟一个程序运行环境，将可疑程序载入其中，执行该程序并等待计算机病毒对自身进行解码后，再运用特征代码法来检测识别病毒的种类。2.4保存文件的读取在文件被感染前，根据文件的内容计算其校验和，将该校验和保存在其它文件中。在每次使用文件时，读出文件的内容并重新计算校验和，比较与原来保存值是否一致，若不一致就可以认为文件被感染。2.5恶意代码的共同行为利用恶意代码特有行为的特殊性来监测恶意代码，通过对恶意代码的深入分析和总结，发现一些恶意代码的共同行为，并且这些行为具有特殊性，不会在正常程序中出现或者比较罕见。在程序运行过程中，监视其行为，与事先总结出的行为特征进行匹配。2.6病毒分析框架uf06a利用Debug反汇编程序将计算机病毒反汇编后进行分析，分析病毒的组成模块、病毒使用的系统调用、病毒采用的技巧：uf06b利用Debug调试工具在内存带毒的情况下，对病毒进行动态跟踪，观察病毒的具体工作过程，在静态分析基础上理解病毒的工作原理。2.7启动公式分析此方法通过分析对象内容中的指令序列来检查对象，如果指令序列与已知病毒的指令序列匹配，则会引发警报。3护的边界问题“零信任”是5G时代的网络安全防护模型，相较于传统网络安全防护的边界概念而言就是无边界，用一句通俗的话来讲就是“持续验证，永不信任”。因为5G的高速带宽冲破了网络边界，恶意代码的查杀方式也随着迭代更新。每个时代的检测方法比较结果如表2所示：4edr系统检测新一代的恶意代码检测从结构上分为展示层、控制层、采集分析层，数据会流向每个层面。从时间观念上分为三个阶段，事前发现阶段，事中拦截阶段，事后处置阶段，每个阶段相互关联，如下图1所示：(1）图1的14是展示层，病毒传播的行为轨迹以及病毒处置结果都会展示在屏幕上：（2）图1的11是EDR控制层，控制层与态势感知联动，态势感知联动蜜罐、ID/PS、WAF、防火墙等功能系统、，恶意代码处置隔离动作都在控制层完成：图1的10是EDR终端计算机系统：图1的12是日志采集系统，会收集恶意代码的检测查杀日志，并将日志发送给14展示层：（4）图1的13是未知文件检测系统，使用动态和静态相结合方式进行恶意代码检测，利用机器学习发现威胁，并使用虚拟环境（WinXP/Win7/Win10）运行可疑文件，防止恶意文件分片分段、加壳逃逸，检测的文件类型包括uf06aWindows可执行文件，EXE、dll等：uf06bWEB网页，如检测Javascript、Flash、JavaApplet等：uf06c各种办公文档，如Office、PDF、WPS等：uf06d各种图片文件，如JPEG、PNP、JPG等：uf06e各种压缩文件、加壳文件，未知威胁检测系统使用Hypervisor检测，检测Hypervisor控制通道读取检测引擎的CPU、内存数据，解析恶意文件的全部行为，系统融合了ELF启发式检测引擎、WEB/PDF启发式检测引擎、PE启发式检测引擎等技术。4.1检测设备的转变(1）调查取证流程，功能型安全设备发现威胁后上报给态势感知，态势感知向EDR控制中心下发IOC即威胁特征检测任务，特征包括恶意域名、恶意IP地址，控制中心将IOC下发给终端计算机系统，终端计算机系统会做出检测本地是否存在恶意代码威胁，然后将检测日志通过控制中心转发给日志采集系统。（2）联动处置流程：安全运维人员针对确认是恶意代码威胁事件触发终端计算机系统联动处置策略后，态势感会知根据事件信息及联动处置方式下发联动响应规则给EDR控制中心，EDR控制中心将联动规则下发给对应的终端计算机系统EDR代理，EDR代理根据联动响应规则对终端计算机系统的恶意代码执行清除隔离、结束进程、切断网络连接、禁止用户动作。4.2“蜜罐”系统诱捕恶意代码恶意代码特征库、恶意代码检测清理的处理速度、其它安全功能产品与“蜜罐”系统的联动是反制的的必备条件，“蜜罐”系统诱捕恶意代码，先让恶意代码进来，再由未知威胁系统对恶意代码进行脱壳、提取并记录其行为特征，接着将意代码附加的信息五元组交给态势感知对恶意代码威胁源进行溯源、封堵。5计算机恶意程序检测新一代的恶意代码检测查杀技术正在普及，这个阶段遇到恶意程序被检测到之后，安全运维人员也不必慌张，要理解清除恶意代码的本质是掌握病毒原理，然后对恶意代码进行清除，一般采用以下几个方法：（1）阻断。切断网络，拔掉单个感染源的网线，检查局域网内其它计算机是否被被感染，将病毒源锁定在较小的范围内：（2）识别：识别感染源，分析恶意代码原理：（3）控制。uf06a破坏回写：破坏计恶意程序大都带有回写机制，即在检测到当其文件或启动项等被删除之后，又回写回去，需针对性地破坏该机制：uf06b禁用：禁用启动项禁用其启动项之后，恶意软件就无法再次启动：uf06c停止：停止打印服务、文件共享服务、远程桌面服务：uf06d升级：升级服务版本：（4）清除。清除恶意代码，并将恶意代码更新到特征库：（5）恢复。uf06a压缩：压缩被感染的文件，uf06b还原：还原被恶意代码感染的数据文件。6注意用户要使用第三方软件综上所述，文章总结并归纳了七种不