“这是整个安全行业的一次惨败!”——“Flame(火焰)”病毒事件引起了全世界的关注,安全软件公司F-Secure研究总监Mikko Hypponen对此做出了如上评论。据悉,“火焰”病毒已经入侵伊朗、黎巴嫩等中东国家,日前,其感染范围已扩散至中国、美国等多国。在攻击目标方面,据微软官方公告显示,“火焰”病毒主要被用于进行高度复杂且极具针对性的攻击,政府、军队、教育、科研等要害机构的电脑系统成为其首要攻击目标!安全专家指出:类似“火焰”病毒这种网络武器,可以轻易用来对付任何国家!其巨大的破坏性为整个安全行业敲响了警钟!
“火焰”病毒——杀毒软件不能承受之重
此次“火焰”病毒与之前的“震网(Stuxnet)”、“毒区(Duqu)”等病毒类似,重点攻击国家命脉行业!但是,“火焰”病毒比“震网”病毒要严重很多,其所包含的代码数量大约相当于之前发现“震网”病毒的20倍。火焰病毒具有混合型特征,集文件传染、蠕虫、木马、黑客程序等特点于一身,是迄今为止发现的最大规模和最为复杂的网络攻击病毒。同时,火焰病毒构造十分复杂,据了解,该病毒用了 5 种不同加密算法,3 种不同压缩技术,和至少 5 种不同文件格式,包括其专有格式,病毒文件达到 20MB 之巨(代码打印出来的纸张长度达到2400米)。
据Kaspersky Lab调查,火焰病毒可能于2010年3月(或者更早的时间)开始工作,而一个匈牙利的研究组织报告,火焰病毒可能已经活跃了5至8年,甚至更长的时间。
火焰病毒是如何在如此长时间内躲避杀毒软件的查杀呢?
首先,我们来分析一下杀毒软件的工作原理。杀毒软件是依靠病毒库来查杀病毒,当杀毒软件公司获取一个病毒样本后,会提取其唯一特征加入到病毒库中,这样,杀毒软件在扫描系统文件时,如发现有与病毒库内包含的特征相匹配的,这个文件就可判断为病毒,从而进行报警或清除工作。这一特性也造成了杀毒软件的滞后性,也就是说杀毒软件无法查杀其“不认识”的病毒。
随着安全的需要和技术的发展,杀毒软件实现了很多新技术,弥补其对未知病毒查杀的不足,包括启发式技术、虚拟机技术、行为分析技术、云检测技术等,这些技术虽然增强了一些杀毒软件对未知病毒的查杀率,但是,当一个可执行程序包含合法的数字签名时,杀毒软件则不会对这个程序进行监控。
火焰病毒正是利用了Microsoft Windows系统的一个未被发现的漏洞,对自身代码进行数字签名,使杀毒软件认为病毒本身拥有来自微软的数字证书,从而绕过杀毒软件的查杀。同时,火焰病毒是一个非常复杂的病毒,其复杂程度甚至超过了某些应用系统;而且,其应用了很多合法软件使用的功能,例如:其内部实现了一个lua(很多应用程序使用 lua作为自己的嵌入式脚本语言,以此来实现可配置性、可扩展性)的解释引擎,在病毒内部包含大量lua代码、使用了XMPP协议进行通讯等,这些都会对杀毒软件的行为分析技术造成很大困扰。杀毒软件为其自身性能考虑,其应用虚拟机技术与行为分析技术并不彻底,使目前多种手段轻易绕过检测。
火焰病毒正是综合利用了以上诸多技术,才得以长时间潜伏,从而未被任何杀毒软件发现。
攻防较量——及时“灭火”不如“釜底抽薪”
以上分析我们可以看出,火焰病毒在未被发现的数年时间内,谁都不能保证不被感染,这种未知的、且不被察觉的安全隐患让我们不寒而栗。目前,虽然微软已发布“灭火”补丁,并新增三个证书授权,来消除火焰病毒带来的风险,这些措施虽缓解了当下 Windows 用户受到的威胁,但其并未彻底根治火焰病毒。如果再出现新病毒、如果操作系统再发现新的安全漏洞被攻击者利用,在现有被动防御手段与脆弱的操作系统环境下,仍会产生十分严重的后果。
如何能一劳永逸的解决未知病毒攻击以及操作系统所面临的各种安全问题?椒图科技安全专家指出:只有在 “国家等级保护”的指导下,对现有的操作系统实现等级化操作,提升现有操作系统,使其达到“国家等级保护三级标准”无疑是最有效的方法。现有的病毒都是对 “C2级”操作系统进行攻击,当操作系统提升到“三级”后,改变操作系统的访问控制模式、通过域隔离机制实现最小化权限,限制病毒的生存空间,才能有效免疫未知病毒。而椒图科技已经开发出的椒图主机安全环境系统,正是以等级保护思想为指导,通过构建系统层的立体防护,彻底解决操作系统面临的各种安全隐患。同时在对于病毒防范上,JHSE能彻底免疫各种已知未知病毒,对类似“火焰”病毒的防范不啻于釜底抽薪。
众所周知,病毒本身是一段可执行代码,而恶意代码感染系统,首先需要有一定的生存空间,例如,通过写入文件、感染进程、增加或修改系统服务、修改注册表(windows)等获得一定的权限,从而执行非法操作。而JHSE能够对用户、文件、进程、服务、磁盘、共享、配额、IP、端口、注册表(仅Windows)等系统资源进行全方位保护,并可通过自主研发的可视化虚拟安全域(ASVE)技术,将每个应用或功能单独划分成安全域。增强型DTE则隔离了域与域之间的访问,每个安全域中均具备增强型RBAC安全机制,可对域内资源进行强制访问控制,域内规则又可进行细力度的配置。即便未知病毒进入了操作系统的某一个安全域,其所产生的影响也仅局限在该域内,不会影响和扩散到其他域。
具体到火焰病毒,我们可以通过观察其特性进行具体防护。据调查报告显示,火焰病毒主体程序是一个名为MSSECMGR.OCX的动态库,由一个MOF文件或一个批处理文件加载,加载后会复制自身到系统目录的System32目录下,同时会创建注册表项:HKLMSYSTEMCurrentControlSetControlLsaAuthentication Packages = "mssecmgr.ocx",进行其自身的自动加载。而且火焰病毒为保证其功能实现,会把自身代码注入多个系统进程,包括services.exe、 winlogon.exe、explorer.exe和iexplore.exe等。
当主机安装了JHSE,其ASVE模块中的“系统保护域”将WINDOWS操作系统的核心目录System32加入到域中使其“只读”,同时添加规则禁止创建.OCX文件,并将所有进程与相关的注册表键设置为“只读”访问,实现最小权限。在这种情况下,由于安全域存在,火焰病毒将无法完成上述操作,也使其无法完成初始化、无法继续工作,从而达到完全对其免疫的功能。
通过以上描述,我们可以看出,在JHSE构建的安全防护体系下,通过严格的访问控制与域隔离机制,即使将恶意代码复制到操作系统中,由于其请求的资源无法得到满足,釜底抽薪使其无法运行,恶意代码便失去生存空间,只能自生自灭。所以,JHSE不仅可以完成对火焰病毒的免疫,而且可以完成对所有已知和未知病毒的免疫。