高效快捷的木馬綜合檢測方案
【51CTO.com 綜合消息】
1 需求分析
隨著計算機及通信技術的飛速發展,網絡在帶給人們便利的同時,也給病毒、木馬的泛濫提供了溫床,給國家、政府、企業及個人都帶來了不可估量的損失。其中,木馬程序造成的危害更是非常巨大的,也是非常危險的惡意程序。它能使遠程用戶獲得本地計算機的最高操作權限,使用戶的電腦完全暴露在網絡環境之中,成為別人操縱的對象。
據國家計算機網絡應急技術處理協調中心抽樣監測統計,2008年我國境內感染木馬控制端的IP地址達到438,386個,感染木馬被控制的IP地址達到565,605個,發送立即郵件106次、實施信息竊取操作373次。“木馬與僵尸網絡監測”已成為了被CNCERT列于“被篡改網站監測、惡意代碼捕獲”之首的核心監測項目。
木馬的大肆傳播泛濫已給國家造成了巨大損失,2009年5月,工業與信息化部下發了關于印發《木馬和僵尸網絡監測與處置機制》的通知。采取了迄今為止最廣泛、最有力的機制措施。明確了相關主管機構與廣大的互聯網用戶各自的責任和義務,規定了對木馬和僵尸網絡的“監測和通報”、“處置和反饋”兩個主要流程及通報內容。
國家保密局更是把“對互聯網的保密檢查、對特種木馬的檢測”作為當前保密科技研究及保密檢查工作中需要關注的重點方向之一。
因此在日常網絡運行維護管理和定期的自檢自查中加強對木馬的監測與評估,防止木馬竊取敏感信息,保護重要數據,已經成為當前信息網絡安全監管或維護部門的重中之重。
#p#
2解決方案
木馬與合法程序的區別就在于木馬行為的隱蔽性和目的的惡意性。從這兩點區別入手,控制木馬植入、隱蔽和惡意操作行為所需要的資源條件,監控木馬運行、通信、啟動的隱蔽行為和惡意操作,就可以對木馬的檢測和防范起到較為理想的效果。
鼎普科技積極跟蹤市場需求、木馬形勢和國家相關政策,自主研發了鼎普木馬監測與評估系統,指在對已知或未知木馬進行監測與評估,綜合分析木馬行為特征,與此同時,對木馬的最終目的——竊取關鍵信息進行分析判斷有無感染木馬或被竊取重要信息。
通常電腦逐臺查殺的檢查方式對于個人應用來說,還是很方便的,但對信息安全監管部門來說,這樣的方式卻是非常費時費力的,鼎普科技根據這一需求,開發了網絡木馬監測與分析評估系統。該系統首先通過網絡監測模塊掃描并分析網絡中的所有主機,并進行木馬特征分析與重要信息匹配,準確判斷并定位出網絡中感染木馬的主機,然后再用單機檢測模塊去做深入檢查,從而可以大大的提高整個網絡中木馬檢測與分析的效率。
根據不同的應用環境需求,鼎普科技提供了兩種形式的解決方案:檢查版木馬檢測方案與監測版木馬檢測方案,分別用于隨機性檢查或長期性監測、評估某個網絡中是否存在木馬病毒,其中檢查版由單機檢測模塊和網絡監測模塊組成,而監測版則以專用網絡監測硬件平臺為載體,僅由網絡監測模塊組成。
2.1快速探測的網絡木馬監測模塊
網絡監測模塊可以根據用戶需要,通過對網絡數據的實時采集,對IP源地址、目的地址進行分析從而有效的監測網絡中存在的木馬,并進而準確定位感染的主機,之后即可利用單機檢測模塊有針對性的對感染木馬電腦進行細致的檢測,以致清除。該模塊既可以安裝在筆記本上,也可以專用硬件平臺為載體,安裝在筆記本上并配以單機檢測模塊,提供靈活、便捷的木馬檢測技術手段,可以方便檢查部門隨時檢查某個網絡;以專業硬件平臺為載體,則可以長期部署在網絡上,實現對木馬的連續、實時監測。圖1表示了監測版木馬檢測系統的具體部署拓撲圖。
圖1 典型安全檢查綜合部署圖
由圖1可以看出,該網絡木馬檢測方案中,安裝在一臺專用設備上的網絡木馬監測模塊部署在網絡出口交換機鏡像口或干路上,達到分析、判斷并定位感染終端主機、重要信息還原的目的。具體實現的功能如下:
木馬發現及報警阻斷:在監測模塊中添入已知高危木馬的網絡特征,可以及時準確的判別、阻斷該木馬的任何非法網絡傳輸,實時報警;
高危IP、域名連接、端口的實時報警和統計:緊密配合履行工信部印發的《木馬和僵尸網絡監測與處置機制》中的要求,可通過系統管理界面按需加入工業與信息化部通報的木馬控制端IP地址、惡意域名、端口等信息,從而進行木馬匹配分析,分析出網絡中感染木馬的終端主機,獲得主機的IP和MAC地址,定位到終端;
敏感IP、域名連接的實時報警和統計:固化了鼎普對A、B、C類公用地址研究分析的IP地址分類庫;因此可以通過流經總出口的數據包實時分析內部某終端正在與美國、臺灣、韓國、日本、歐洲等國家的某IP進行連接,且該庫可以不斷升級壯大,由此得出感染終端;
特種木馬行為特征分析:通過設置IP地址嚴控的方式確定疑似木馬的連接行為;通過網絡連接端口來判斷連接是否由木馬生成,并發現網絡中的與控制相關的協議,并通過協議與端口的比對,發現偽裝協議通過合法端口來工作,如80端口復用的防火墻穿越技術;
未知木馬基于重要信息內容的準確判斷:對特征一無所知的未知木馬,通過設置關鍵字的方式控制終端傳輸行為并報警。對重要信息、被木馬惡意程序隱藏傳輸的電子郵件及附件、圖片、文檔等進行還原處理,可用于檢查時確認泄漏內容的危害程度;如部署在網絡干路上可進行實時阻斷;
信息報文提取:自定義對重要信息進行篩選查閱。設置起始時間、結束時間、起始IP、結束IP、報文類型、應用協議、任務ID、文件類型等來篩選數據信息,方便查閱。可以在本地硬盤上保存當前選中的報文以便作更細致的分析。
輸出統計分析報表:一是快速導航檢測,用戶登錄系統管理界面后,只需點擊一鍵,報表清晰的顯示具體定位的感染終端;二是自定義檢測,可按檢查單位、部門、時間,準確定位報表。
在通過網絡木馬監測模塊的準確定位后,即可使用單機木馬檢測模塊針對感染木馬的單機進行深度檢測了。
#p#
2.2深入分析的單機木馬檢測模塊
木馬隱蔽技術的發展使得木馬在目標系統中越來越隱蔽,傳統的基于靜態特征的木馬檢測技術,面對已知木馬的各種隱蔽和變化檢測能力明顯不足,對于未知的木馬更是無能為力,具有根本性的缺陷。鼎普科技通過控制木馬的植入、隱蔽、惡意操作所需資源以防范木馬;通過監控注冊表、文件和目錄、端口進程關聯和可疑調用行為、過濾分析網絡通信等來檢測木馬。圖2顯示了單機木馬檢測模塊的全部功能。
圖2 鼎普木馬監測與評估系統功能
單機木馬檢測模塊以光盤或防病毒U盤為載體,重點實現功能如下:
1、靜態檢測:靜態木馬庫的對比,對已知的高危木馬進行匹配分析,檢測當前高危木馬;
2、動態檢測:從木馬所要運行活動的幾個方面對未知木馬變種進行動態特征的深入分析:
- 啟動方式檢測——對可疑BHO、啟動文件、注冊表啟動項、異常服務、文件關聯方式等進行檢測,從程序、進程自啟動方面得到木馬的相關信息。
- 通信方式檢測——從通信方式來深度檢測,包括可疑打開端口、反彈端口、復用端口等。
- 文件系統檢測——對文件系統進行掃描,發現加殼文件及隱藏的文件和文件夾。
- 系統帳號檢測——木馬要竊取信息通常會先獲得管理員權限,因此對于系統中的帳號進行檢測,包括帳號所屬組、上次登錄時間、修改口令時間等,監測有無被木馬添加的賬號信息。
3、智能分析:對可疑進程進行智能分析,評估檢測出的已知或未知木馬在一定時間內的所有操作行為,如打開文件、寫文件、打包文件等來確定這些可疑進程是否為木馬。
4、報表審計:對終端一鍵檢測、靜態檢測、動態監測及智能分析的結果生成統計審計報表信息。
#p#
3 優勢效果分析
在當前安全檢查木馬工作中,木馬檢查產品種類繁多,其多對常規木馬種類進行檢查,且檢查方式多為木馬庫對比或少許特征分析,相比之下鼎普木馬監測與評估系統開拓創新,創造出了獨具特色的檢查評估平臺,優勢重點體現在以下幾個方面:
針對性強,根據不同的行業特征,可進行關鍵字配置,針對竊取重要信息的高危木馬和未知木馬,實現準確的靜態分析、敏銳的動態檢測及智能跟蹤分析;
建立完善的木馬檢測與評估體系,網絡與單機共同進行深度檢測評估,通過網絡檢測定位到終端,再對終端深度檢測與綜合分析評估,簡潔高效;
獨具特色的重要信息內容檢查分析點,不論其為何種木馬,其最終目的都是想竊取重要信息,因此鼎普科技開創了特色的從信息內容匹配、數據截獲、數據報文還原的終極檢測手段;
具有極強的擴展能力和自身提升能力,整個監測與評估系統構成了一個完整的閉環循環系統,先是網絡上進行木馬特征和信息內容分析,定位感染終端;再到終端上進行木馬活動特性動態匹配智能分析,定位木馬;最后由定位出的木馬特征加入到網絡監測模塊中,便于以后的木馬監測與評估,這就構成能夠不斷自我成長壯大,自我提升的木馬監測與評估平臺;
自身防木馬病毒能力強、適應多樣的應用環境,并具有極高的兼容性和操作簡單便捷性;通過光盤或防病毒U盤載體保障木馬監測程序的安全性。
#p#
4 結束語
鼎普科技憑借對計算機病毒多年來的研究分析,采用靜態匹配與動態分析相結合、網絡檢測與單機檢測相結合的獨特檢測方式,可以有效的批量檢測出網絡中感染木馬的終端主機,并進而實施單機深度木馬檢測,是一種非常簡潔高效的木馬檢測綜合解決方案。
木馬進入新經濟時代后,網絡的提速讓木馬更加的泛濫,如何通過千變萬化的木馬形式分析出其編制的根本,并開發出有效的檢測軟件,這將是一項長期的任務。鼎普科技將不斷研究新情況,解決新問題,密切關注防病毒領域的未來走向,為業界提供更安全更可靠更高效的解決思路。
