020-29133788
    资 讯
    您的位置:首页 >> 资 讯 >> 网络安全 >> 病毒安全 >> 正文
    防毒产业所面对的问题

    点击:   发布日期:2013-02-08

    本文来自 www.020fix.com

    自从电脑病毒诞生以后,网络上就充斥着许多的犯罪活动。不论是政府机关、大型企业、中小企业以及个人电脑,每年因网络犯罪损失的金额都非常可观。网络犯罪的议题也总是被广泛讨论。

    早期骇客为了证明自己有高超的能力,或是为了报复以及政治目的,大多数的犯罪活动多是以恶作剧或破坏为目的;但是近年来,这些攻击都是以利益(金钱)为目标,例如:

    1. 窃取信用卡卡号
    2. 窃取银行帐密
    3. 窃取游戏帐密或社交网站帐密
    4. 建立殭尸网络(由一群遭到感染的电脑组成,这些电脑会在一般命令与控制基础结构下自动执行程式)以获得大量资料
    5. 利用强制綑绑广告软件来获取金钱
    6. 自动拨号程式让手机费用暴增

    骇客组织所从事的地下经济早就远远超越了防毒软件公司的产值。即使许多知名的骇客已经被警方瓦解(例如:鲁兹安全),但是网络犯罪并没有因此减少,新的骇客团体还是不断出现,并威胁着全球企业的安全(例如:Anonymous)。根据研究,2004年因为网络犯罪的损失高达180亿美元,并预估每年将以30~40%的比例扩大。

    而这些犯罪活动则成了下列三种情况的循环:
    1. 骇客散布恶意程式躲避防毒软件侦测或找新的漏洞
    2. 使用者的电脑及网络遭到骇客攻击
    3. 资讯安全厂商开发解决方案以对付各方威胁

    防毒厂商概况
    以下列出防毒公司的概况,这些公司都有提供完整的防毒解决方案,从网络闸道防毒、伺服器防毒、邮件过滤软件到个人防毒软件以及手机防毒。
    第一线公司,指的是在全球都设有据点:

    公司             年营业额(百万)
                        2003            2004
    Symantec    1098            1364
    McAfee        577              597
    Trend Micro 382              508
    第二线公司,在特定区域取得领导:

    公司                                年营业额(百万)
                                           2003        2004
    Sophos                           97            116
    Panda Software              65            104
    Computer Associates      61            74
    F-Secure                         36            51
    Norman                           23            31
    AhnLab                            21            28

    第三线公司,虽然市佔率较低但也正快速成长中,包括:Alwil,Arcabit,Doctor Web,ESET,Frisk Software,GriSoft,Avira,Hauri,BitDefender,VirusBuster。

    上面的资料是我从尤金的文章中贴来的,我们也可以从2012年3月市场佔有率看出最新的防毒软件使用率:
    http://www.opswat.com/sites/default/files/OPSWAT-market-share-report-march-2012.pdf

    每家防毒软件都在增加产品的新技术,从早期特徵码比对、启发式扫瞄,到现在的入侵防御系统、云端防毒、档案信誉评鑑,每家产品也都非常类似。使用者或是网管人员在选购产品时,往往依据各大测试报告(主要是侦测率)、介面友善程度、资源佔用度或是其他人的使用心得来选择产品。举个简单的例子:A、B、C三种防毒软件的病毒侦测率分别是10%、50%、99%,A防毒软件介面复杂且消耗大量记忆体,B防毒软件记忆体消耗量中等且介面普通,C防毒简洁易懂且记忆体佔用少,消费者理所当然会选择C产品;如果选择了A,则电脑将暴露在危险当中,也会导致作业效率变慢,这也是消费者在选购产品上重要的依据。

    防毒软件目前所面对的问题
    一个良好的防毒解决方案,理论上应该100%不让病毒入侵,但这是不可能做到的事,这也正是防毒软件目前所面对的问题。

    问题一:恶意程式大量爆发
    恶意程式量以每年倍增的情况成长,即使全球有四十几家防毒软件公司,也无法对付如此庞大的威胁,也就是说,任何一个产品都不能抵抗全部的恶意程式。然而,大多数的使用者会还是会因为防毒产品宣称的功能而去购买。例如:轻巧不佔资源、连续通过VB100测试等等。

    从趋势科技Smart Protection Network可看出每天的恶意程式量非常庞大:http://go.trendmicro.com/itw/swf/threattracker/

    1990年代我们可以说安装防毒软件就能保护电脑安全,那时恶意程式多半是恶作剧、或是因为好玩,并没有强大的破坏性,数量也在防毒厂商所能应付的范围(还记得趋势科技当时是用寄磁片的方式替客户更新病毒码)。使用者只需针对被感染的文件做隔离、解毒或删除即可。但是,现在许多恶意程式是由地下组织所设计,网络上也流传许多恶意程式产生器,平均每4秒就有一个新的恶意程式产生。(说词来自:http://www.trendmicro.com.tw/wtp/micro/faq.asp)

    样本的捕捉来自于防毒厂商建置的Honeypot(专门诱捕未经授权、非法存取的行为,使分析师能进行侦测或反制)、已被感染的电脑(透过防毒软件内建的回报系统)、公司网管人员、网友的回报或其他防毒厂商。虽然防毒厂商表面上是互相竞争,但若一个新的恶意程式爆发,第一个侦测到的厂商大部分会将资讯发送给其他对手,各家厂商平常也都会进行技术交流。

    假设有一个恶意程式A被防毒软件侦测到,这表示已经有许多电脑被恶意程式A感染了而且正在散布,若是利用作业系统的漏洞,则可能已经传出严重的灾情。例如conficker(Net-Worm.Win32.Kido系列),利用MS08-067这个漏洞大量散布。同时,防毒软件公司必须在最短时间内提供特徵码,而且在作业系统厂商尚未修补此项漏洞时提供防护,这也将面临第二个问题。

    问题二:特徵码品质低落
    为了防范恶意程式的大量散布,防毒厂商也被迫在最短时间内释出特徵码,以减少感染风险。不幸的是,当特徵码释出前,早就有许多电脑遭到感染,而快速释出的特徵码不一定能「清除」该恶意程式(「侦测到」和「清除」是有差别的)。

    由于特徵码释出时间要快,许多厂商现在都依赖机器自动分析,虽然速度增快了,但是错误率也提升了,因为机器分析终究没有人工分析来得精准,许多破解文件、序号机或是加壳程式往往并不具有恶意行为,却被报称为毒。若恶意程式经过加密(例如SHA-256),机器分析也不一定会去做解密动作,这等于是遗漏了这方面的样本,而有些防毒厂商命名规则也是很鬆散的,可参考:不得不公布!现在还有大厂在使用档案大小判毒!

    http://www.avira.com/en/support-vdf-history

    实际案例:软件序号机Nero 8 Ultra Edition v8.x Keymaker.exe
    将Nero 8软件序号机送到Threat Expert:http://www.threatexpert.com/report.aspx?md5=db457a863378b2fc8dbe1f99e97e7dbb

    从报告得知,这个档案并不会对系统造成任何损害,但是将它送到Virus Total后......

    http://www.virustotal.com/file-s ... 9236fb84-1312617009

    AhnLab-V3        2011.08.05.01        2011.08.05        -
    AntiVir        7.11.12.233        2011.08.05        -
    Antiy-AVL        2.0.3.7        2011.08.06        -
    Avast        4.8.1351.0        2011.08.05        -
    Avast5        5.0.677.0        2011.08.05        -
    AVG        10.0.0.1190        2011.08.06        -
    BitDefender        7.2        2011.08.06        -
    CAT-QuickHeal        11.00        2011.08.06        Trojan.Agent.IRC
    ClamAV        0.97.0.0        2011.08.06        -
    Commtouch        5.3.2.6        2011.08.06        -
    Comodo        9648        2011.08.06        -
    DrWeb        5.0.2.03300        2011.08.06        -
    Emsisoft        5.1.0.8        2011.08.06        Riskware.Keygen.Nero!IK
    eSafe        7.0.17.0        2011.08.04        Win32.Banker
    eTrust-Vet        36.1.8486        2011.08.05        -
    F-Prot        4.6.2.117        2011.08.05        -
    F-Secure        9.0.16440.0        2011.08.06        -
    Fortinet        4.2.257.0        2011.08.06        W32/Turkojan.LWD!tr.bdr
    GData        22        2011.08.06        -
    Ikarus        T3.1.1.104.0        2011.08.06        not-a-virus.Keygen.Nero
    Jiangmin        13.0.900        2011.08.05        Backdoor/Turkojan.bvw
    K7AntiVirus        9.109.4973        2011.08.02        -
    Kaspersky        9.0.0.837        2011.08.06        -
    McAfee        5.400.0.1158        2011.08.06        generic!bg.gyj
    McAfee-GW-Edition        2010.1D        2011.08.06        generic!bg.gyj
    Microsoft        1.7104        2011.08.06        -
    NOD32        6354        2011.08.06        -
    Norman        6.07.10        2011.08.05        -
    nProtect        2011-08-06.01        2011.08.06        -
    Panda        10.0.3.5        2011.08.05        -
    PCTools        8.0.0.5        2011.08.06        -
    Prevx        3.0        2011.08.06        -
    Rising        23.69.03.03        2011.08.04        -
    Sophos        4.67.0        2011.08.06        -
    SUPERAntiSpyware        4.40.0.1006        2011.08.06        -
    Symantec        20111.2.0.82        2011.08.06        -
    TheHacker        6.7.0.1.272        2011.08.06        -
    TrendMicro        9.200.0.1012        2011.08.06        CRCK_KEYGEN.BB
    TrendMicro-HouseCall        9.200.0.1012        2011.08.06        CRCK_KEYGEN.BB
    VBA32        3.12.16.4        2011.08.06        -
    VIPRE        10081        2011.08.06        Trojan.Win32.Generic!BT
    ViRobot        2011.8.6.4609        2011.08.06        -
    VirusBuster        14.0.154.0        2011.08.05        -

    令人惊讶的是,毫无恶意行为可言的样本竟然被许多防毒软件厂商侦测出,报not-a-virus或是keygen也就算了,有些甚至显示为Trojan。

    防毒软件误报也时有所闻。以前防毒厂商并没有建立系统档案白名单,在制作特徵码时可能会误删重要档案,使得系统崩溃。因此现在的防毒厂商甚至会和合格厂商合作,将他们的程式建立在白名单内。

    问题三:防毒软件佔用资源
    任何一款软件使用时都会利用电脑资源,防毒软件尤甚于此,因为防毒软件会随时监控使用者开启档案、读取档案、上网流量、下载过程、封包传送,侦测与删除一个档案也都会消耗电脑资源。若调高防护品质,则效率就会下降,所以要在两者之间取得平衡。

    这样的情况其实很难去解决,若防毒软件提供快速的扫瞄,势必会遗漏一些可疑的档案,但扫瞄速度慢不代表能做深入的检查。

    问题四:防毒软件互不相容
    在大多数的案例中,安装两个不同的防毒软件在同一部电脑上以增加保护是不可能的,且两者会互相干扰。有人说这样会造成不公平竞争,其实这是没办法的事,软件设计师都想让其产品不会与其他产品互相排斥,包含防毒软件,可惜在技术层面上是不可行的。

    为了能顺利扫瞄档案并提供完整保护,防毒软件几乎会写到系统核心内。若某个档案被认定是有问题的,由于防毒软件安装了中断点,可以传回防毒引擎上来中断这些档案存取、网络封包或其他可疑行为。然而,有时是无法很轻易地安装两个中断点在核心中,因此造成防毒软件之间的不相容,使得第二组防毒软件无法中断系统事件,或当两者同时中断却造成系统崩溃。

    问题五:云端防毒真如其名抑或是噱头?
    近来许多厂商标榜「云端防毒」,透过网络将庞大的运算处理程序自动分拆成无数个较小的子程序,再交由多部伺服器所组成的庞大系统经搜寻、运算分析之后将处理结果回传给用户。

    云端防毒做得比较好的就是趋势科技的Smart Protection Network(简称SPN)。根据趋势科技表示其特点如下(参考integear所写一鸣惊人:TMSPN上市发表会心得整理):
    (1)透过SPN蒐集的资料反向追踪,可以找到恶意程式作者、地下组织,并通知警方。
    (2)SPN不是只分析一个威胁,而是34000台以上的伺服器配合1000多位专家进行分析,快速处理大量资料,因此使用者能得到立即的更新。
    (3)SPN是透过Host-based Intrusion Prevention(简称HIPS,安装在电脑上,监控所有在电脑上的程序活动)、启发式、大量而复杂的演算法、异常行为来抓取样本。并非是使用者中毒之后才回传样本。
    (4)SPN透过「社群智慧」、「关连性分析」、「整合回报」架构起来;社群智慧包含「Smart Feedback」,它会记录网络上的可疑行为,再透过演算法过滤,最后以云端技术达到立即更新的资讯;关连性分析则包含「Monitor And Select」,透过演算法撷取大量资料,并选取必要的资讯,接下来「Incident Trigger」会标记顺序先后,之后「Correlate」交叉比对寻找众多档案之间的关联性。最后利用「Intelligent Scoring」给样本打上分数。
    (5)SPN会将类似的网址做关连性分析。因为恶意程式作者可能会为了逃避追踪而设定乱数网址。
    (6)SPN每天处理的资料大于1.2TB,每天分析用户50亿次的查询。

    因此像趋势科技这样的云端,是可以有效达到遏止恶意程式的流窜。然而某些防毒软件打着「99秒云鑑定」或是「1秒云鑑定」,只是将云端技术拿来分析单一档案,这样对于恶意程式的防护能力明显下降许多。

    没有完美的解决方案
    很显然地,大家都希望寻找一个永久的防毒软件解决方案,但不幸的是,世界上没有一个永久的方法可以避免电脑遭受感染。由于恶意程式是人写的,不是自然演化,因此防毒厂商都是猜测骇客下一步的行动来设计软件,或是对已经存在的骇客技术来做预防,基本上,防毒厂商都是站在「被动」的一方。

    就拿两个防毒厂商最常用的技术来说,特徵码比对法就是拿一个被制作成2进位的程式码,来比对被扫瞄的档案是否符合,若符合则判定有威胁,若不符合则安全。这个方法的优点就是可以百分之百确定档案是否有问题,而缺点就是恶意程式越多,储存于资料库的资料也就越多,造成防毒公司的负担。

    「启发式扫瞄法」则会根据一个档案的后续动作来判定是否有威胁,优点就是可以侦测未知的恶意程式,缺点就是误判率较高。假设有一个防毒软件A它写的启发规则可以百分之百正确判断「现有」的档案,骇客知道了以后,就会想办法用别的技术来躲避防毒软件A的启发规则,而防毒公司知道启发规则被破解了又会写新的规则来预防新的威胁,这就会造成无限循环。所以我们才需要每年不断购买新的防毒产品,或是更新防毒产品的版本,以因应新的威胁。

    购买防毒软件
    虽然说了许多防毒软件所面临的问题,但我们还是需要购买一款好的防毒软件来保护自己(请参考:我必须不客气的说:大部分的End User根本不懂网络安全!),那该如何选购呢?客观而言,就是参考一些来自世界各地机构的测试报告,这些测试包含了侦测率、0-day漏洞、扫瞄速度、防毒厂商对新威胁的反应速度以及清除率等。然而许多机构并未针对防毒品质做测试,因为进行这样的测试必须蒐集大量的样本,并记录防毒软件从安装到移除的过程,费时又费工。

    目前有提供完整测试的有AV-test(http://www.av-test.org)及AV-Comparatives(http://www.av-comparatives.org),这些机构对于防毒软件的侦测率、防毒公司对新恶意程式的反应时间、中毒电脑的解毒率、受感染网站防御率及系统资源使用等,均进行完整的测试。另外,PC Security Labs(http://www.pcsecuritylabs.net)、Virus Bulletin(http://www.virusbtn.com/index)及WestCoastLabs(http://www.westcoastlabs.org)等则主要是针对侦测率做测试。

    结论
    恶意程式与防毒软件、骇客与资安专家,这两个善恶面是共存的,使用者收集到越多的资讯,才能避免令人遗憾的后果。