鼎普科技：安全Ｕ盤攔截木馬

那　罡

在日常網(wǎng)絡(luò)運(yùn)行維護(hù)管理和定期的自檢自查中加強(qiáng)對(duì)木馬的監(jiān)測(cè)與評(píng)估,來(lái)防止木馬竊取重要敏感信息,保護(hù)重要數(shù)據(jù),已經(jīng)成為當(dāng)前信息網(wǎng)絡(luò)安全監(jiān)管或維護(hù)部門的重中之重。

木馬特征綜合分析

木馬的大肆傳播已給國(guó)家造成了巨大損失。2009年5月,工業(yè)和信息化部下發(fā)了關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》的通知,明確了相關(guān)主管機(jī)構(gòu)與廣大的互聯(lián)網(wǎng)用戶各自的責(zé)任和義務(wù),規(guī)定了對(duì)木馬和僵尸網(wǎng)絡(luò)的“監(jiān)測(cè)和通報(bào)”、“處置和反饋”兩個(gè)主要流程及通報(bào)內(nèi)容。

北京鼎普科技股份有限公司總裁于晴說(shuō),木馬本身也是一段能夠完成一定功能的代碼,與其他合法應(yīng)用程序在程序結(jié)構(gòu)、程序運(yùn)行機(jī)理方面并沒(méi)有本質(zhì)的差異。因此從程序內(nèi)在結(jié)構(gòu)、程序運(yùn)行機(jī)理等方面無(wú)法從正常的合法應(yīng)用程序中檢測(cè)出木馬程序。

合法應(yīng)用程序是為目標(biāo)系統(tǒng)和用戶應(yīng)用服務(wù)的,其運(yùn)行和各種操作都是善意的,因此不需要進(jìn)行刻意隱蔽。但是,木馬程序的目的是危害和破壞被攻擊的目標(biāo)系統(tǒng)。如果木馬的運(yùn)行和各種惡意操作“光明正大”地進(jìn)行,就會(huì)被目標(biāo)系統(tǒng)的用戶或管理軟件及時(shí)發(fā)現(xiàn)。所以木馬會(huì)采用各種手段對(duì)其自身的行為進(jìn)行隱蔽。

因此,木馬與合法程序的區(qū)別就在于木馬行為的隱蔽性和目的的惡意性。于晴說(shuō),從這兩點(diǎn)區(qū)別入手,控制木馬植入、隱蔽和惡意操作行為所需要的資源條件,監(jiān)控木馬運(yùn)行、通信、啟動(dòng)的隱蔽行為和惡意操作,就可以對(duì)木馬的檢測(cè)和防范起到較為理想的效果。

記者了解到,鼎普木馬監(jiān)測(cè)與評(píng)估系統(tǒng)可以對(duì)已知或未知木馬進(jìn)行監(jiān)測(cè)與評(píng)估,綜合分析木馬行為特征,如目的IP地址、端口等已獲取的特征及注冊(cè)表、啟動(dòng)服務(wù)等未知?jiǎng)討B(tài)活動(dòng)特征;與此同時(shí),對(duì)木馬的最終目的——竊取關(guān)鍵信息進(jìn)行分析判斷,直接對(duì)關(guān)鍵信息進(jìn)行內(nèi)容匹配來(lái)判定有無(wú)感染木馬或被竊取重要信息。

根據(jù)不同的應(yīng)用環(huán)境需求,鼎普科技提供了兩套解決方案:單機(jī)版木馬檢測(cè)方案與網(wǎng)絡(luò)版木馬檢測(cè)方案。單機(jī)版木馬檢測(cè)主要通過(guò)對(duì)木馬靜態(tài)特征的分析以及動(dòng)態(tài)行為的判斷進(jìn)行檢測(cè),而網(wǎng)絡(luò)版木馬檢測(cè)方案則可以高效地檢查整個(gè)網(wǎng)絡(luò)中是否存在木馬,準(zhǔn)確地判斷出網(wǎng)絡(luò)中感染木馬的主機(jī),并協(xié)同單機(jī)版木馬做進(jìn)一步的深度檢查。

掀開(kāi)木馬的外衣

木馬隱蔽技術(shù)的發(fā)展使得木馬植入目標(biāo)系統(tǒng)后在目標(biāo)系統(tǒng)中越來(lái)越隱蔽。傳統(tǒng)的基于靜態(tài)特征的木馬檢測(cè)技術(shù),不僅面對(duì)已知木馬的各種隱蔽和變化,檢測(cè)能力不足,對(duì)于未知的木馬更是無(wú)能為力。鼎普科技通過(guò)控制木馬的植入、隱蔽、惡意操作所需資源以防范木馬;通過(guò)掃描監(jiān)控注冊(cè)表、文件和目錄、端口進(jìn)程關(guān)聯(lián)和可疑調(diào)用行為、過(guò)濾分析網(wǎng)絡(luò)通信等來(lái)檢測(cè)木馬。

單機(jī)版木馬檢測(cè)系統(tǒng)以光盤或防病毒U盤為載體,可以對(duì)未知木馬變種進(jìn)行動(dòng)態(tài)特征的深度檢查和分析。通常人們?cè)诓槟抉R的時(shí)候都是利用查殺軟件在每一臺(tái)電腦上逐一掃描檢查。這樣的檢查方式對(duì)于個(gè)人應(yīng)用來(lái)說(shuō),還是很方便的,但對(duì)信息安全監(jiān)管部門來(lái)說(shuō),如果要檢查某一個(gè)網(wǎng)絡(luò)中是否會(huì)因?yàn)榇嬖谀抉R而導(dǎo)致信息泄露,這樣的逐臺(tái)檢查就非常費(fèi)時(shí)費(fèi)力了。

于晴表示,鼎普科技根據(jù)這一需求,開(kāi)發(fā)了網(wǎng)絡(luò)版木馬監(jiān)測(cè)與分析評(píng)估系統(tǒng)。該系統(tǒng)首先通過(guò)專用網(wǎng)絡(luò)木馬掃描設(shè)備掃描并分析網(wǎng)絡(luò)中的所有主機(jī),并進(jìn)行木馬特征分析與重要信息匹配,準(zhǔn)確判斷并定位網(wǎng)絡(luò)中感染木馬的主機(jī),然后再用單機(jī)版木馬檢測(cè)系統(tǒng)去做深入檢查,從而可以大大的提高整個(gè)網(wǎng)絡(luò)中木馬檢測(cè)與分析的效率。

鼎普科技的網(wǎng)絡(luò)版木馬檢測(cè)方案有兩種版本形式:檢查版和監(jiān)測(cè)版。檢查版以一臺(tái)專用筆記本和防病毒U 盤為載體,提供靈活、便捷的木馬檢測(cè)技術(shù)手段;監(jiān)測(cè)版則以專業(yè)硬件平臺(tái)為載體,可以長(zhǎng)期部署在網(wǎng)絡(luò)上,實(shí)現(xiàn)對(duì)木馬的連續(xù)、實(shí)時(shí)監(jiān)測(cè)。