杀毒软件防御机制存重大漏洞 文件查杀理念急需变革


  发布者: 卡饭资讯|  原作者: zhizunwang
 
2011年,病毒技术发生重大变化。现有技术架构的杀毒软件捉襟现肘,应对渐感乏力。

病毒绕过主动防御

当前,杀毒软件依赖文件鉴定开发了传统的文件鉴定引擎,当文件被访问、运行时,调用反病毒引擎对文件进行安全扫描,如果是黑文件(危险程序)就杀掉,白文件(安全程序)就放行。当类似主动防御的应用面临大量的白文件时,包括白文件的后续动作,比如加载dll文件等,也被不再检查直接放行了。因为若不放行,就面临一个问题:连续的询问严重打扰用户,系统变得无法使用。

魔高一尺,道高一丈,病毒和反病毒之间的斗争处于持续的此消彼涨中。病毒为绕过杀毒软件的主动防御,很快找到新招:将病毒代码植入dll文件中,利用被鉴定安全的第三方软件加载dll文件不校验的漏洞,间接运行。而可以被病毒利用的软件数以千计,连Windows自己的组件都不可避免。

病毒这种绕过方式在2011年得到非常广泛的应用,杀毒软件再次落到必须和病毒拼响应速度的地步。

正常文件为什么也危险

还是拿实例来说明,如下图,这是一个典型的网购木马。

点击查看原图

病毒程序是StormUpdate.dll,如果病毒作者直接编译一个.exe可执行文件,他会发现杀毒软件判断这个未知程序有异常行为而被建议阻止运行。于是病毒作者随便找了一个正常的应用软件,如暴风影音程序,这是一个合法的有数字签名的商业软件,所有杀毒软件都判定这是一个正常程序。

当这个程序执行时,杀毒软件主动防御放行,于是含有病毒代码的StormUpdate.dll(假冒的)被加载,接着含有主要病毒执行代码的Version.dat被加载执行。最终,病毒绕过了杀毒软件的拦截完全启动。

还有更经典的例子:在下面一包8个文件中,只有1个是病毒,其它全是正常文件,病毒的运行如同多米诺骨牌之间的接力。最终对用户造成伤害的结果,由一系列看起来完全正常的软件制造。

点击查看原图

安全厂商的无奈

杀毒软件拦截不了病毒程序,正常的文件变得异常危险。这到底是为什么?简单来说,就是病毒对杀毒软件的工作机制了解得非常透彻,直接利用其体系漏洞。可悲的是,安全厂商明知道存在此问题,却也无可奈何。

因为白文件数以万计,而且被亿万网民频繁使用,没有一个安全厂商有这个计算能力对白文件的后续执行动作一一校验。即便资源和能力,网民不堪其扰也不会答应。

目前杀毒软件应对这种绕过方式能够做的,就是发现一例记录一例。但治标不治本。病毒作者随意更换下加载文件和路径,杀毒软件又会被轻松绕过。

杀毒体系多年未有实质性变化

事实上,杀毒软件的基本理念已经有许多年未曾改变,一直采用的基本思路就是基于文件的扫描、鉴定,这也是病毒摸透并攻破的根本原因。

最初,杀毒软件只有一个文件扫描引擎,在对付文件不多的年代,够用,速度也快,误报率也低。随着病毒的进展,大量病毒开始加壳,使用稀有的EXE压缩工具打包。随之杀毒软件推出脱壳引擎,将文件解包后再调用文件引擎检查。

新病毒出现的速度越来越快,文件引擎开始显得有点手忙脚乱。杀毒软件开始设计启发式分析引擎,用代码统计的方法,去检查病毒常用的非法操作,从中发现病毒的普遍规律。
虚拟机引擎和启发式类似,在虚拟空间模拟程序执行,分析有害行为。这种做法的结果是消耗大量系统资源,扫描速度降低。但它也能发现新病毒。这些都是文件扫描引擎。

此后,部分杀毒软件开始尝试行为查杀,主动防御技术逐步普及。主动防御捕捉程序的动态执行过程,而不是对文件进行静态的检查。执行中一旦发现异常行为,立刻阻止危险程序的进一步动作,防止中毒事件发生。这个模型很理想,似乎不必再担心新病毒问题了。

事实上,病毒程序和行为动作和正常程序没有本质差异,很多动作,正常软件都有。于是频繁的拦截提醒需要对正常软件放行,不然就会严重打扰用户操作。如今,如上面所述,病毒作者再次找到可以绕过的方法:利用正常软件来启动危险程序。

贯穿杀毒软件和病毒木马之间的对抗史就可以发现,虽然杀毒软件进行了多次改变,但基于文件的鉴定体系一直以来从未改变。如果杀毒技术体系持续没有实质创新,未来的安全形势堪忧。
评论(0) 引用(0) 浏览(78)
post by donglaifu.com | 2012年2月20日 | 归档于 [记网]

赛门铁克发布Norton One一体化个人安全方案


 来自: cnbeta
 
赛门铁克今天公布了诺顿360个人安全解决方案的最新版本Norton One,它提供了从PC到Mac再到Android设备的一站式安全防护服务,一个许可证可同时用于5个不同设备,并包含25GB的在线存储空间和电话技术支持。而一年期的费用统一为149.99美元,将在美国,加拿大,英国,爱尔兰,澳大利亚,新西兰和爱尔兰这几个母语为英语的国家率先开始销售。

点击查看原图
点击查看原图
点击查看原图
点击查看原图

评论(1) 引用(0) 浏览(108)
post by donglaifu.com | 2012年2月17日 | 归档于 [记网]

研究人员发现RSA公开密钥生成算法存在漏洞


来自: CNET科技资讯网
一组研究人员发现,使用RSA算法对敏感在线交流与交易进行加密生成的公开密钥中存在一个漏洞。
 
通过对700万样本研究,研究人员发现其中27000份样本的公开密钥并非随机生成。也就是说,可能有人算出用于创建公开密钥的秘密素数。
 
该研究项目由独立密码技术专家詹姆斯·休斯(James P.Hughes)和荷兰数学家Arjen K.Lenstra领导。研究人员计划今年8月份在圣巴巴拉加密大会上呈送其报告。
 
研究人员在报告中表示:“我们对网络上收集的公开密钥进行研究,主要目的是测试密钥随机生成的有效性。结果发现大多数公开密钥是随机生成的,但也发现一个令人不安的情况,就是千分之二的RSA算法并不安全。”
 
有问题的公开密钥已被从公众访问的数据库中移除,防止有人利用该缺陷。为确保系统安全性,网站需要改变终端。
 
目前尚不清楚该缺陷是否已被别人发现。
评论(0) 引用(0) 浏览(70)
post by donglaifu.com | 2012年2月17日 | 归档于 [记网]

微软发布2月安全公告


 
微软今天发布了2月份的安全补丁。这一天美国时间恰逢情人节,看来这并未影响微软人员的工作热情,照例在每月的第二个星期二发布了安全补丁。本次微软共更新了9个补丁,修复了21个程序漏洞,其中包括网页插件Silverlight可能允许远程执行代码的严重漏洞等。

微软Silverlight通常被认为是与Adobe Flash相竞争的一款产品,在众多IE浏览器用户中安装,用于浏览网页动画和前端交互应用。本次安全公告显示,如果Windows或Silverlight用户查看特制的网页,就有可能允许远程执行代码,带来的后果可能导致被恶意攻击乃至控制,资料泄露等。

目前受影响的版本主要是Silverlight 4.0,微软最新推出的版本是5.0,但4.0版用户使用仍然较多。此漏洞危害为最高等级的“严重”级别,覆盖几乎所有Windows版本。

微软本次还专门为Windows XP修复了一个安全漏洞。如果用户在特定情形下打开一个.avi多媒体文件,成功利用此漏洞的攻击者可以作为登录的用户运行任意代码。攻击者可安装程序,查看、更改或删除数据,甚至完全控制受影响的系统。

虽然微软未将此漏洞定义为最高安全等级,但考虑到国内仍有大批的XP用户,以及.avi是较为常见的视频文件,因此该漏洞在国内可能会造成较严重的影响。

此外,微软本次还解决了其他包括Windows、Windows Server、Office、IE等系统安全隐患,在本月9个安全补丁中,有4个为最高安全等级,另外5个为重要等级,危害较大。

评论(0) 引用(0) 浏览(73)
post by donglaifu.com | 2012年2月17日 | 归档于 [记网]

微软升级杀毒软件 把谷歌标记为恶意网站


 来自: 赛迪网
 
2月16日消息,据国外媒体报道,由于微软在情人节发布了错误的安全升级软件,运行微软杀毒和安全软件的计算机把全球访问量最大的网站google.com标记为恶意网站。

在微软周二发布安全升级软件后不久,微软Technet技术支持论坛便出现了许多投诉。用户称,当他们访问谷歌网站google.com的时候,IE浏览器便发出恶意软件报警。

这个报警显然是微软杀毒和安全产品向用户提供的“误报”的结果。特别是微软的Forefront和免费的Security Essentials杀毒软件的问题。

krebsonsecurity.com网站技术人员在听到读者投诉之后,立即更新了安装微软Security Essentials安全软件的Windows XP系统。重新启动之后,IE浏览器提示,作为这台电脑主页的google.com有严重的安全威胁--“安全漏洞:JS/Blacole.BW”。不知道为什么,微软安全软件认为谷歌主页被“Blackhole利用漏洞的工具”感染了。

现在,微软杀毒软件已经纠正了这个问题。根据微软论坛中的反应判断,微软似乎已经知道了这个问题并且对这个虚假的报警做出了回应。
评论(0) 引用(0) 浏览(76)
post by donglaifu.com | 2012年2月17日 | 归档于 [记网]