9月21日,前金山软件CTO、金山贝壳安全技术有限公司的CEO陈睿,在金山互联网安全公司召开的云查杀媒体见面会上,就“云查杀”与“云安全”向业内人士分享了自己的观点,并详细介绍了具有“100%云查杀”的新产品《金山贝壳木马专杀》。
贝壳安全技术有限公司CEO 陈睿
《金山贝壳木马专杀》这一产品在今年6月发布,年底将推出2010新版,是深度整合云查杀、云防御的新一代互联网安全产品。
陈睿以从事病毒行业7年来的经验,从多角度分享了目前木马泛滥的原因,深度剖析了反病毒木马领域面临的问题,以下是贝壳安全技术有限公司CEO陈睿在这次媒体见面会上的精彩观点。
病毒只是占互联网威胁的3%
从08到09年的病毒和木马趋势来看,仍然是一个爆炸式增长的当量,但是病毒比例正在进一步降低,现在病毒只占互联网威胁的3%。这个数字放到五年前,是无法想象的,病毒数量当时要远远多于木马。但是现在病毒仅占了3%的比例,而病毒数量仍然在迅速增长,反映出木马的数量和增长速度远远高于病毒。
另外,现在新木马更新的速度越来越快,更新次数也越来越频繁。05年,为了更好的扼杀木马,金山毒霸每天三次升级,病毒库的更新频率在行业内遥遥领先,而到后来一天三次、一天五次、一天十二次,直到每小时一次,面临的情况仍然是跟着木马跑,看谁更新速度更快,但是很明显,木马病毒的更新速度远高于杀毒软件更新频率。所以,单纯靠传统的查杀模式已经出现了问题,而《金山贝壳木马专杀》可以完美的解决这一问题。
木马也玩精准投放
现在行业里比较流行的一个词是精准广告,而看看眼下木马的越发精准和科学的投放,已经越来越接近广告模式,危害性更大。
现在网络威胁大多是挂马,比如在某个网游玩家比较喜欢的论坛,别有用心的人就会想尽一切办法去挂马,因为这个论坛的用户群比较固定,木马也就更直截了当的针对网游玩家和他的帐号。之所以这么干,是因为木马的投入也是有成本的,自然是希望每一个木马都放在能盗号的机器上。
目前,利用搜索引擎这种方式投放木马的效率非常高,尤其是那些网游辅助工具,都是网游玩家喜闻乐见的,玩家去搜索引擎搜索这个工具后,却不经意间下载下来一堆木马。所以很多游戏玩家不知道帐号怎么就被盗了,都是跟这些有关系。
例如:魔兽。在google搜索一下,出来的的结果中可能就有木马,用户没有辨别直观的能力,《金山贝壳》就针对这个做了一个专题,提醒用户注意。
另外木马还会利用邮件和IM进行针对性欺骗。现在木马作者也一样思维比较灵活,过去更多是通过程序去做,而现在可能是雇人人工投放,比如雇人跟你聊天、给你发美女图、我们以为这是机器,其实是真人,而在二级城市雇人的成本是非常低的。
免杀是木马的必修课
现在在网上搜“免杀”,教免杀的教程比教防木马的都多。而且还有一个趋势:越来越多的专业人士加入木马和木马免杀行列。
据了解,目前木马这个行业在技术方面的独立分工已经做的非常成熟,过去做一个木马你可能要独立面对很多问题,如:要能盗号、能架服务端、能升级、能免杀,更甚者要能抢先杀掉杀毒软件。但是现在已经没有了这些问题,因为行业已经有细致的分工,downloader已经不需要你自己做,他可以帮你干很多事,你写木马的人只需要写木马就OK,而且加壳这些都是由更专业的人士提供。
木马为了获得生存,发布之前都会在所有的杀毒软件环境下运行一遍,保证不被识别后才可以上市销售,所以免杀已经成为木马的必修课。
而针对免杀,所有安全软件都面临着力不从心的严重问题,表现在以下几个方面:
1、木马库非常容易突破百兆,如果我们查杀100个木马,特征库就得100个,而且还不够。2、跟木马拼更新也不够,因为它比较小,也没有什么测试,而杀毒软件就面临着会不会出Bug的问题。
3、样本太多,无法精细分析,包括误报和漏报都很严重,为什么会这样?还是样本太多,分析比较难。
4、样本无法及时获取,对新木马的响应速度慢,一个木马盗号只需要十几秒钟,但是一个木马从取得样本到变成用户机器上可以更新的病毒库,时间却很长。
所以当一个新木马出现的时候,就很容易出现一些受害者,而安全软件对于新木马的识别是不大靠谱的,因为所有新木马在推出之前,都会用现在市面上流行的安全软件进行扫描,如果扫出来他们就再改,改到你扫不出来为止,尽力的追求免杀的效果。所以虽然所有安全软件都做了通杀,虚拟机等功能,但是都用不上。
比如说一个木马加了一个壳,这个壳很奇怪,我们认为加壳的大部分不是好东西,我们就报这个壳,然后木马就换一个壳,结果用了这个壳的正常软件就给误报了。最后发现相当于你端着枪走进人群打坏人,坏人没打着,伤着好人了。
敌暗我明,主动防御敌不过免杀
卡巴8.0主动防御出来时,对木马非常有效,正式发布以后,发现越来越不像想象中那么好了。原因就是敌暗我明,相当于你摆一个靶子,敌人一个月就可以把你轻松攻破,但是杀毒软件又不可能一个月换一个杀毒方案,这就是问题。
所以安全软件继续目前的技术框架,面临情况只有两个字,被动。主要原因有以下几个方面:
第一、木马对于互联网的理解领先于安全软件。其实病毒和木马一贯是先驱者,像当年蠕虫传播的时候,他们是非常有互联网思想的,后来就把这种方式,我们称之为病毒行销。没有互联网的时候,当贼的都是比较低调的,因为他知道,一旦被你发现,你很容易把它杀掉,安全本质上是对抗战,攻防战。
第二、主动防御类似于马奇诺防线。例如:保险箱的尴尬。07年的时候,金山毒霸、360、瑞星基本上同时推出了类似保险箱的产品,这个产品每家厂商都是经过半年以上的研发,而且技术都是不错的,但是到现在,保险箱一点用没有,因为现在所有木马都可以登陆保险箱,这是非常讽刺的。所以说,具体技术也好,主动防御也好,都类似于马奇诺防线,他非要绕过你,那怕在地上挖个洞都要吃定你。
第三、传统鉴定手段能不能满足现在吞吐量的要求。目前对木马的判断,基本上都是每天识别几百个木马,加入一天100个,一年也就三万个,和木马的增长速度比起来不值一提。
第四、为什么那么占资源呢?因为它复杂。现在的杀毒软件跟五年的杀毒软件复杂度完全不一样的,因为它面临的问题要多的多。对于木马来说,成本比较低,被杀了是应该的,躲过了则是万幸;而对于用户来说,杀毒软件保护了你再多次,但是只要中了一个毒,用户还是说你这个不行那个不行,所以我们尽量做的完善,占用更多的资源也是无奈之举。
