【51CTO.com 綜合消息】自03年SARS以來，類似這種具備廣泛傳染性的病毒事件屢見不鮮，從禽流感再到現在的甲型H1N1，可謂“一波未平，一波又起”。

筆者于2003年寫過一篇“從SARS看網絡安全預警與應急保障體系”,主要談的是面對類似SARS這種突發的網絡安全事件中檢測、預警、應急體系的粗淺思路，而時隔6年，網絡安全的總體形勢在發生變化，目前的主要威脅方式從入侵攻擊、網絡蠕蟲轉向主要通過網頁掛馬等方式傳播木馬，構建地下掛馬產業鏈，竊取機密文件、隱私信息、各種帳號從而謀取暴利，并組建僵尸網絡，發動群體攻擊，嚴重威脅著互聯網的生存和發展。在甲流肆虐的今天，筆者想談談這一事件對于木馬檢測防范的啟示。

一、木馬和流感病毒之間的類比

根據衛生專家的定義，甲型H1N1流感病毒屬于病毒家族中正黏液病毒科，可以分為l5個H亞型。 流感病毒的一大特性就是多變性。如果人流感病毒和禽、豬流感病毒經過抗原轉換形成新的人類流感病毒毒株，就可以在人與人之間傳播。人群對這種新的病毒毒株沒有免疫力。本次北美發現的A/H1N1病毒就具有來自豬、禽類和人類的基因片段，因此防范這種病毒還是有比較大的挑戰性。

木馬一詞源自于古希臘著名的特洛伊戰爭。現代計算機中對于木馬的定義是：木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網絡控制本地計算機的程序，它的運行遵照TCP/IP協議，由于它像間諜一樣潛入用戶的電腦，為其他人的攻擊打開后門，與戰爭中的“木馬”戰術十分相似，因而得名木馬程序。

根據木馬程序對計算機的具體控制動作方式，可以把現存的木馬程序分為以下的幾類：

1．遠程訪問型木馬

遠程訪問型木馬是現在最廣泛的特洛伊木馬。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發射一個“截取屏幕”等等。這種類型的木馬有著名的BO（Back Office）、國產的冰河等。

2．密碼發送型木馬

密碼發送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發送到指定的信箱。

3．鍵盤記錄型木馬

鍵盤記錄型木馬只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動而啟動，記錄每一個用戶事件，然后通過郵件或其他方式發送給控制者。

4．毀壞型木馬

大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機上所有的.dll或.ini或.exe文件，甚至遠程格式化受害者硬盤。毀壞型木馬的危害很大，一旦計算機被感染而沒有即時刪除，系統中的信息會在頃刻間灰飛煙滅。

5．開啟后門型木馬

如：FTP型木馬就是打開被控制計算機的21端口 （FTP所使用的默認端口）， 使每一個人都可以用一個FTP 客戶端程序來不用密碼連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。

6．下載型木馬

下載型木馬是近年來出現一種新型木馬，本身不對電腦做破環，但該木馬一旦執行，會在瞬間下載上百個木馬，就象蝗災來襲時那樣鋪天蓋地。這些木馬以“集群作戰”的方式，從各個途徑徹底破壞用戶電腦安防體系。木馬下載器具有很強的驅動級自我保護能力，可以讓殺毒軟件的普通查殺模式全都失效，并且傳播途徑非常廣泛，目前主要方式是通過網頁掛馬的方式來進行。

結合H1N1的流感病毒和木馬的特點，我們可以清楚看到它們的相同點和不同點。

相同點： 

◆木馬和流感病毒都是獨立存在的個體。 

◆對于植入對象有明確的危害性。 

◆被植入對象都能夠表現出一定癥狀。

不同點： 

◆流感病毒具備自繁殖性和自動感染，因此危害比較大，而木馬本身不具備繁殖性和自動感染的功能，只能依賴木馬作者或獲取源代碼的人進行變種，并通過網頁掛馬、社會工程或結合蠕蟲等方式擴大傳播面。 

◆流感病毒源自于自然界，形成機理比較復雜，涉及到醫學、病毒學、基因學等多個層面，目前還需要進一步研究。而木馬完全源自人為，形成模式有規律可循。 #p#

二、防治流感病毒和木馬檢測防范的異同

1．檢測思路的異同

從SARS防治的成功經驗來看，防范流感病毒的的首要條件就是及時發現疑似病例。具體的方式就是國家的高度重視，同時配合廣泛的媒體宣傳和報道。對于這種輸入型的流感病毒，加強機場、出入境人員的檢查和事后的人員追查。在醫院專門設置發熱門診，進行有效過濾。這些都是從管理措施來提升檢測的有效性。而另一個層面，從發現疑似病例到確診這個階段，就是純技術層面的了。從檢測模式來看，基本可以歸為如下流程：發現確診案例后提取其相關的樣本，經過專門的檢測機構進行一系列提取、分離等動作，并配合基因測定等方式，最終確定病毒樣本，然后再進入到耐藥性等一系列測試，以發現有效抗病毒的藥物。

現在的木馬的檢測流程與這個過程有非常相似的地方，安全廠商及相關的實驗室、研究機構通過截取、用戶主動上報等方式獲得新的木馬樣例，經過內部的脫殼、反編譯等分析手段，發現木馬的特征碼，然后發布檢測和清除方法。

如果說兩者的不同點，還在于獲取樣本和分析周期上。相比較而言，對于單個木馬的分析和特征提取比分析單個流感病毒更容易一些，投入相對小，分析周期快。但是從新樣本增加的趨勢來看，新型木馬出現的數量、頻度遠高于新型流感病毒出現的數量、頻度，2008年新增木馬的數量是27.6萬個，比2007年相對上升了5.6%，這個數字相當的驚人。

2．檢測思路面臨的困境

流感病毒源自于自然界。科學發展到現在，雖然有了非常大的進步，但人類對于自然界的了解和掌控還只是前進了一小步。因此，對于流感病毒的及時檢測發現注定存在一定的缺陷，我們很難在這個方面取得質的突破。

同樣，對于新型木馬檢測目前在業界已經成了一個難題。在2000年初，傳統的防病毒廠商在宣傳產品優勢的時候，木馬樣本庫還是廠商重點宣傳的指標，可以達到上萬個。但是到了現在，木馬的數量發展速度已經遠遠超出了防病毒廠商的特征庫更新能力。不管防病毒廠商的收費模式如何變化，電腦用戶的對于病毒廠商的抱怨越來越大，信任度也越來越低，以致于出現“殺毒軟件”是否應該免費的巨大爭論，傳統的防病毒廠商面臨著生存困境。究其根本原因，其實是防病毒廠商的傳統檢測機制出了問題。由于木馬的二進制屬性和互聯網的普及，木馬的變化、新增能力遠遠超過自然界的病毒生物屬性的變化能力。傳統的檢測模式就像“黑客帝國”一樣，演變為是一場人和機器人之間的戰爭。這是一場不對等的戰役，幾乎沒有勝利的可能。不轉變檢測思路，木馬泛濫的問題是無法解決的。 #p#

三、如何尋求檢測思路的突破

不論是應對H1N1流感病毒還是網絡安全中的木馬問題，從理論角度來看都是可以用現有的動態安全模型PDR(Protect+Detection+Response)來考慮。

對于流感病毒，經過SARS的教訓和經驗總結，我們在防御、檢測、響應三個層面都已經有了很大的提升。首先，醫院的治療條件在不斷提高，中國的第一例HIN1患者成功出院就是證明。其次，在響應層面，對于這種事件從世衛組織到國家的各級政府、衛生防疫部門都建立起了應急響應機制和預案，也沒有問題。唯一要提高的是檢測速度，但是至少檢測體系也初步建立起來，重點是在傳播環境去及時布控和發現。

對于木馬檢測思路的突破，其實也主要體現在以下三個環節：

一是如何在傳播鏈上及時發現木馬。鑒于目前主流的木馬傳播方式是通過網頁掛馬模式，有必要對網頁掛馬的概念做一下闡述。網頁掛馬，其實并不是真的把木馬放到合法網站上，而是在合法網站的網頁上嵌入一段隱藏的惡意代碼或腳本，當瀏覽網站的用戶在訪問網站時，這段代碼或腳本在后臺被執行，使得用戶的計算機在不知不覺中到黑客控制的網站中下載了木馬文件，從而被木馬控制利用。據調查，2008年在遭受木馬攻擊的用戶中，有53%的是通過網頁掛馬方式中招，而且這種比例在不斷增加。可見，網站在木馬傳播鏈中起到非常關鍵的作用。因此，必須加強對網站的主動監查，一旦發現被掛馬，及時采取措施，可以確保木馬的危害面減小；同時通過檢測掛馬可以向上追溯，發現托管木馬的惡意網站，及時查封并找到木馬上傳人員、木馬制作人員，通過法律手段來進行管控。

二是如何及時判別新的木馬和應對木馬變種。基于特征檢測的傳統方式由于數量急劇膨脹，必然帶來檢測效果的滯后性，無法滿足當前形勢了。如果我們轉換一種思路來看木馬產生的本原，可能豁然開朗。木馬是人用計算機語言來編寫的，因此木馬無論如何變化不會逃出人已知的范疇。木馬要在計算機中運行，執行木馬制作者的目的，就會有相應的行為和動作，而這種行為和動作是可以進行總結歸納的，歸納后形成的檢測規則就可以來指導木馬檢測。這和通過一個一個積累特征方式形成特征庫的相比完全不在一個數量級。

三是檢測支撐平臺選擇上的思路轉變。醫學上對于一種病毒的檢測分析往往會采用活體實驗的方式，但是不可能在人身體上實驗，通常就是選擇小白鼠。但是木馬不同于生物病毒，對人體沒有危害，我們可以通過現在流行的虛擬化技術來模擬實際計算機運行環境，在這個我們稱為“沙箱”中來進行木馬采樣和充分分析，而且即使有危害也不會擴散，很容易恢復。這一點和目前的一些廠商不一樣，這些廠商為了拓寬木馬的采集，是通過在實際網絡計算機上來發現新的樣本，似乎有把用戶當“小白鼠”之嫌，并有可能獲得用戶的一些隱私信息，筆者認為有不可取之處。

同樣，對于木馬的整體防范體系來說，單從木馬檢測技術層面也不能完全解決，需要配合其它安全產品和技術，并做好組織保障和應急預案。做為信息安全的領航者，啟明星辰也有全面的解決思路。 #p#

四、檢測、防御、響應——360度網站安全解決方案

以網站安全為例，當前網站主要存在如下的風險。結合PDR模型，我們不難發現P、D、R都存在著一些問題。 

圖1

1．網站防護脆弱：防不住SQL注入、XSS等網站常見的攻擊。

2. 網站缺乏對安全漏洞、網頁掛馬的發現機制：往往是網站發生損失和利用造成傷害后才發現被入侵。

3. 響應對象不完整：由于缺乏有效的檢測，很多網站有事故才響應，不知道有安全漏洞和入侵存在，自然沒有及時響應，直至損失被發現才有響應，甚至響應也僅僅停留在恢復層面，而沒有解決導致入侵存在的安全問題。

啟明星辰是以網站安全360的視角來實施解決之道。根據這一視角，就需要一個不僅僅是簡單，而且要完整的安全措施來對應上述這些問題。這一措施必須能夠分別加強網站的防御、檢測、響應的質量，一方面加強防御，提升有效防護的時間（Pt），一方面縮小Dt（檢測的時間）和Rt（響應的時間）。分解了每部分的安全需求，就可以使用明確的安全措施來完善網站安全。

根據網站安全360視角，國內信息安全領域的領軍企業啟明星辰，提供了完善解決網站安全的產品及服務，從防護、檢測、響應三個方面入手，讓網站安全變得更簡單。據介紹，網站安全360包括三大部件：檢測部件（安星服務）、防御部件（天清IPS）和響應部件（源代碼審計和應急響應服務）。

1.檢測部件

安星，是被稱為網站安全體檢專家的服務。它是啟明星辰基于安全檢測技術成果和專業遠程監控安全服務團隊，為客戶互聯網網站的WEB頁面進行遠程安全檢查的有償服務，包括檢查網頁掛馬和網站漏洞兩種可選項目。服務的過程將經過三個層次篩選，第一層是自動化的網頁異常搜索，通過遠程搜索發現網頁異常；第二層進行精確篩選，排除肯定不是攻擊的部分；第三層是專業人員的人工審查，確定漏洞或掛馬存在的位置、形態、功能等并形成可視化報告。

2.防御部件

天清IPS，被稱為WEB應用入侵防御系統，是專門針對WEB網站攻擊進行優化的入侵防御產品。天清IPS是一個硬件設備，通常透明串行模式部署于網站前端，此產品運用了一套啟明星辰的專利算法，因此成為目前為數不多能夠做到精確阻斷SQL注入攻擊、XSS跨站腳本攻擊的IPS產品，有效防范利用WEB漏洞的入侵網站并實施網頁掛馬、種植木馬后門。

3.響應部件

源代碼審計和應急響應服務，對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除，同時可以選擇白盒測試、黑盒測試對網站相關的安全源代碼進行檢查，找出源代碼方面的問題，獲得源代碼問題所在以及安全修復建議或修改服務。該類服務由啟明星辰國家級實驗室的專業攻防技術團隊（ADLAB）提供支持。一些缺乏專業外援團隊的重要網站，能夠通過這個專業團隊的服務來強化網站系統的安全源代碼設計，加強系統自身的安全性。

有了網站安全360各個部件發揮的作用，我們就可以降低網站入侵造成的損失。各部件作用如下圖所示： 

圖1

作為國內信息安全領域的旗艦企業，啟明星辰在2009年通過一系列的產品和服務，將網站安全治理工作效率推向了一個新的高度，將防御產品、檢測、修復服務相結合，運用更加簡單而有效的方式強化網站自身的安全性，防范木馬攻擊，促進WEB業務應用的健康發展。

五、展望

流感病毒侵襲人類是很正常的事情，H1N1爆發也就有其必然性的。通過技術手段是可以控制SARS、天花等病毒，但這并不意味著人類在大自然中能所向披靡。 H1N1事件，時刻提醒人類在和病毒的斗爭中不可大意。自然界的神秘莫測使我們無法控制新病毒不出現，但是我們可以通過良好的衛生生活習慣、完善的公共防疫體系和科學技術的突破來控制流感病毒的傳播，降低流感病毒造成的危害，最終形成對流感病毒的免疫力。

互聯網也是攻擊事件和木馬的孳生之地，既然我們應用了網絡，也就無法不承受黑客、木馬的攻擊，而且攻擊者往往會利用熱點事件來集中攻擊。如：受甲型H1N1流感事件影響，各類健康專題網站、地方衛生局類網站的關注度和訪問量都持續攀升，也因此成為商業黑客選擇攻擊的目標。因此，及時發現和防范掛馬、新型木馬會是一個持久性的話題，這就需要安全從業人員不妨用跨界思維來拓寬思路，加強研究，打造一個全新的木馬檢測防范體系。