科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道与海星木马作战

与海星木马作战

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

被称为“互联网斗士”的周鸿祎现在面对着一个新的对手。这个对手如此强大,连他自己也始料未及。

作者:杜晨 来源:IT经理世界 2008年4月28日

关键字: 卡巴斯基 卡巴斯基授权文件

  • 评论
  • 分享微博
  • 分享邮件

  被称为“互联网斗士”的周鸿祎现在面对着一个新的对手。这个对手如此强大,连他自己也始料未及。

  他的对手不是一个具体的人,也不是某家公司,而是散落在互联网上的一个庞大且松散的组织。这个组织里没有CEO,也无从找到首领,组织里的成员都暗藏于互联网上的每一个角落。他们与周鸿祎还有他旗下的360安全卫士玩着捉迷藏的游戏,那些玩游戏的不是可爱的孩子们,而是为了利益在网络上疯狂散播木马病毒的团体。

  周鸿祎和他的助手傅盛决定要和它们血战到底。但是当木马这种有着破坏能量的程序与互联网结合之后,其发展速度和爆发的能量还是让周鸿祎这个互联网老兵瞠目结舌。“只要不运行程序,就不会感染到病毒。”这是周鸿祎对病毒感染长久以来的认识,因此每当看到科幻电影中用无线电波来释放病毒的情节,程序员出身的他就觉得非常可笑。但是现在,周鸿祎不得不改变这种固化思维,因为木马已经实现了那种看似虚空的传播方式。

  “你能想像吗?”周鸿祎用快速的语调说:“现在你不需要运行任何程序,你只要看一张图片,或是插上一个U盘,或者只是连到一个局域网或无线网上,你的机器就可能会中招(中木马)了。”在周鸿祎做360安全卫士的这两年中,他经历了已经无法用经验解释的木马程序的发展演变。

  木马海星化

  木马(Trojan)这个名字来源于古希腊荷马史诗中特洛伊木马的故事,斯巴达国王美内劳斯联合希腊各城邦组成希腊联军攻打特洛伊,久攻不下,于是想出一计:首先他们假装被打败,撤退时留下一个木马,而木马里面却藏着最强悍的勇士,特洛伊人将其当作战利品带回城内。当天晚上,当特洛伊士兵为胜利庆祝时,藏匿在木马中的希腊战士们却从木马中钻出来,悄悄打开城门,里应外合,一夜间占领了特洛伊城。

  如今,这个故事已经有了数字化版本。那些有着技术天赋的黑客们,编写出一段特定的程序,把预谋的功能隐藏在公开的功能里,掩饰真正的企图,供用户在互联网上下载。通常这些程序的目的是远程控制有木马程序植入的电脑,然后窃取用户的各种资料。在大多数人眼中,木马是一种病毒,其实木马并没有完全具备病毒的传播、潜伏、感染文件的性质。它的主要目的也不像病毒一样是单纯的破坏与恶作剧,而是为了“控制”与“偷窃”。但是木马对电脑用户的侵害要比病毒更甚,因为它们没有蛰伏期,永远是实时运转的。

  “2007年病毒量大概比2006年增长了近30倍,接近30万种,其中70%是恶意的木马程序,每天感染的用户接近100万。”360安全卫士的总经理傅盛说。在周鸿祎与傅盛的眼中,这两年来,在中国互联网上存在的恶意软件与横行的木马有着一脉相承的联系。

  最初,恶意软件的生产制造以有组织或有来头的公司为主,他们做的东西以谋取经营利益为目标,比如弹出广告等。恶意软件也由此形成一条产业链,有制作者、渠道、广告等,不仅是大公司在做,很多小组织也在参与其中。在2006年7月底,由周鸿祎出任董事长的奇虎网推出了“奇虎360安全卫士”,开始了扫荡互联网恶意软件的“网络百日大扫除”运动。在这次轰轰烈烈的运动之后,参与制造恶意软件的公司及小组织们的广告利益链条被瓦解,恶意软件的声势也就逐渐降低了下来,但是,这些小组织们却在这时发现了另一个能带来巨大利益也更加隐蔽的方式,那就是利用木马程序来盗取用户在虚拟世界中的账号。

  这直接导致了木马的制作传播从有组织的公司行为,转变为分散式的、找不到首领无法预知群体数量的海星式组织。由于网络游戏及QQ等卖虚拟道具的商业模式出现,很多用户都会在互联网虚拟世界中拥有大量的财富,而且这些财富是可以与现实中的货币直接对接的,木马盗号这时就开始演化成了一门生意。“当那些小组织、个人程序员无法再做恶意软件弹出广告之后,开始大规模地转向木马制作,‘革命式创新’也就发生了。他们充分利用了互联网来传播,并在互联网上进行沟通与协作,原来以公司为组织的方式也被瓦解抛弃了。”傅盛说。

  海星式组织最大的一个特点就是分散分权化,表面上混乱无序,但他们是极具效率与弹性的团体。比如P2P技术产生的服务就是典型的海星式组织,即使传统唱片业不断赢得对P2P公司的诉讼,音乐侵权问题的整体情况却越来越恶化;唱片业反击得越厉害,激起的反抗就越激烈。在木马这个领域也是同样,无论传统病毒公司再打击,木马程序的制作与传播却丝毫未受影响,而且波及的面也越来越广。

  机器狗是最近在互联网上流行的木马病毒,两周的时间它产生了几十万的变种,侵占了几千万台的机器。它的生产与传播是这样的一个途径:首先是一些程序员为了炫耀自己,在互联网上那些开源软件的社区里散播出一些程序漏洞的编译代码,这会引发另外一些程序员针对这个漏洞写出更多的改编加工程序,继而被一群专门搞木马的人利用,再把它逆向为原代码,在这个基础上,无数的人会进行各式各样的加工。“虽然还叫机器狗,其实它已经被几十万人进行了更改,而最初的作者,可能都没有想到会造成这样的后果。”傅盛说在互联网上这样的例子数不胜数。

  造成木马成为海星化组织的首要原因就是能够获取直接的利益,这个利益链条从发现漏洞、制作木马、传播木马、贩卖账号等每个环节都由众多的群体参与,这些群体不以任何有领导的组织出现,所以极为隐蔽,而且链条的每一个环节都能获得直接的利益。“据说前一段发现微软ANI光标漏洞的一个人光是卖发现的漏洞就获得了800万元。这个漏洞被发现后,一夜之间互联网上就被挂满了针对这个漏洞的木马。”周鸿祎认为利益的驱动是木马海星化组织的最大原动力,这比任何有领导且有着严密组织结构的公司更具效率也更具创新性。

  木马在传输渠道上也开始有了创新改变。以前,木马程序主要是利用网站的漏洞进行“挂马”,之后又演变为与某些正常工具进行捆绑。在这些常规途径之外,传播木马者还渗透到了U盘的生产线上,在U盘出厂之前就把木马植入了U盘AUTORUN的程序中,同样盗版光盘也是植入的目标;还有一些木马传播者疯狂地寻找着第三方软件的漏洞,他们以群体的智慧对抗某一个软件提供商技术团队,比如最近流行迅雷、暴风影音等都成了不计其数的木马制造者发现漏洞的对象。在这个组织中,还有一些人在进行针对局域网的攻击,通过伪装把中了木马的机器变成是局域网中的服务器,然后再向局域网中的电脑成员发送木马,这个方式也让周鸿祎彻底改变了对病毒传播的固有思维。

  不仅是在传播渠道中有创新,在商业模式上,这些木马制造者与传播者也在利用群体的智慧开创新的模式。比如机器狗与磁碟机,它们实际上成为了一个木马平台,通过某个漏洞潜入进用户的机器,但是他们本身并不进行盗号的活动,而是在后台大量的下载其他类型的木马,是一个木马的母体,然后再以下载木马的种类和数量收取费用。这种按效果付费的模式在互联网广告中也还处于尝试的阶段,而在木马的世界里,这种方式已经运作很成熟了。

  以海星对抗海星

  要解决海星化的木马,软件服务也必须海星化。这是周鸿祎找到的对策。

  “微软再牛,不还是一帮人吗?而挑微软的漏洞,却是全世界所有程序员都想做的事情,他们在互联网上组成一个或多个社区,每天都在研究用你的漏洞来做木马,做传播的设计。如果一个公司天天靠那些技术员打补丁来应对,肯定是防不胜防。”周鸿祎说。

  为了对抗这个有着自进化能力的海星式组织,周鸿祎把原来奇虎下面的360安全卫士的项目独立了出来,成立了一家专门针对个人安全的平台型公司。“我们不是一家传统的软件开发公司,我们是一家互联网公司。”周鸿祎说,“互联网公司最重要的一点就是跟着用户的需求在走,反应速度要很快。”

  360安全卫士是周鸿祎2006年才做的项目,凭借着对互联网时代安全问题的敏锐发现和查杀思路的创新,他们跟上了木马变化的速度,比如在U盘木马与机器狗的两个战役上,360安全卫士及时推出了木马专杀工具,速度比其他传统的杀毒软件提供商要更快一些。这也使得360安全卫士在不到两年的时间内,下载量达到了2亿次,每天使用者超过5000万,每日新增用户超过70万。

  “很多人认为我们把安全软件变成免费是在搅局,其实不是这样。我们做的是把软件服务化,我们不为经销商服务,也不是要把软件压制成光盘那样卖,传统的软件提供商都有发布周期,而我们用了互联网服务,随时发布随时改,所以我认为360是国内第一家是把安全从软件变成服务的公司。”周鸿祎认为要与木马这样的海星式组织作战,首先就是要把原来传统的周期性软件发布模式改为互联网实时性的服务模式。

  同时,为了和海星式组织的群体智慧对抗,周鸿祎与360安全卫士还要打一场群体战争,那就是发动起受害者,让受害者也成为一个海星式组织。“受害者与作恶者比,数量是多的一方,我们要把受害者发动起来建立起一个安全社区网络,群防群治,建成一个全民防线。”由于360安全卫士已经拥有了大规模的用户,并在这个软件平台中集合了用户反馈的功能,使得他们能迅速地通过数据来获得对木马流行趋势的把握。“我们就像在全国各地布满了很多防疫站,一旦有流行病小范围的发作,第一时间就能感知,不用等到它大规模席卷时才能发现。”周鸿祎说“防”和“堵”才是现在主动对抗木马的方式,“查”与“杀”的方式已经不适合现在的安全环境了。

  把自己变成海星的一个方式就是建立一个维基百科式的开放型社区。因为大量的木马样本仅仅只是依靠自己公司的团队去分析是不现实的,所以在这一方面也必须要发动用户来帮360安全卫士做这个工作。如同木马成为海星式组织的原因是因为最初的程序已经零件化傻瓜化,即便是不懂技术的人也能制作与传播木马,所以周鸿祎也打算开放平台及把木马分析工具傻瓜化。“我们提供工具,提供平台,让那些有能力分析木马和恶意软件的技术人员,都能在这些平台上贡献他们的力量。”周鸿祎希望不只是靠自己的力量去和这些木马作对,他要在这个开放的平台上集合类似卡巴斯基、金山等公司,以及很多个人的工作室,“搞成一个群体智慧的大聚会,相互授权,相互开放技术。”周鸿祎说即将发布的一个安全浏览器就是这种群体智慧的产物。

  实际上,360安全卫士想成为的是一个混合型的组织,既有分权化组织自下而上的方式,又具备集权化组织的结构,这种理想式组织既能与纯海星式的组织作战,也能够保持像商业公司一样的控制及盈利的能力。目前,周鸿祎和他的360团队还没有考虑任何与盈利相关的事情,对他们来说,最为重要的就是用合理的方法将自己快速变成另一个海星式的组织。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章