如何有效确保终端安全

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　长期以来，对于Windows系统环境来说，安全软件都是必不可少的软件，不论是家用电脑还是企业办公电脑。恶意软件不仅仅会将用户的敏感信息泄露出来，还会浪费宝贵的时间和带宽。

------------------------------------------------------------------------

　　从市场的角度看，安全软件厂商都宣称自己能够应对这些恶意软件，而实际上他们只是对付了那些他们能对付的恶意软件。当我们真正的来了解每一款产品，就会发现，他们实际上并不如市场宣称的那样万能。

　　去年在DEFCON 黑客大会上进行了一场针对市场上大部分反病毒产品的 Race to Zero 竞赛。第一个使得修改的病毒代码能够绕过所有反病毒软件的黑客团队即为获胜团队。几个小时后，就有团队根据病毒代码样本制作出了可以绕过所有反病毒软件检测的新型病毒代码样本。

　　当前的安全威胁

　　如今，很多恶意软件已经变得相当智能，它们会根据情况自己进行race to zero竞赛，对内部代码进行适当修改，形成了数十亿种可能的代码排列，从而逃避反病毒软件的检查。因此，那些基于病毒样本的反病毒软件就会由于没能及时更新病毒样本库而漏掉对新型病毒的检查。其它一些可用的防护措施，包括启发式查毒，白名单，以及Symantec的新型Qourom and Insight 技术虽然越来越成熟和重要了，但仍然不能称为完全方案。

　　不仅是恶意软件在进化，开发恶意软件的动机也在不断变化。最初的恶意软件只是为名，而如今更多的则是为利。犯罪组织正在资助恶意软件开发者发现新的跟有创意的方法进入客户的电脑系统。

　　总之，如今没有哪个解决方案可以应对全部恶意软件的。虽然在电脑系统中安装反病毒软件确实可以提高电脑的安全等级，但是你仍然需要及时更新软件，从更安全的角度进行网络设计，采用硬件防火墙，并应用一个优秀的安全策略。

　　常见的恶意软件类型

　　基于恶意软件入侵系统的方式不同，恶意软件可以分为以下几种：

　　病毒： 病毒一般通过感染文件的方式，比如感染office文档或PDF文档等进行自我复制。这个词有时候也用来指所有的恶意软件。

　　木马： 木马是发送给用户并需要用户点击执行的病毒。用户可能将其误认为是文档或者来自朋友的生日祝福邮件而主动点击该文件。虽然打开此类文件时看起来和平时没有什么不同，但是其中隐藏的后台程序却已经开始控制系统或窃取系统中存储的信息了。木马一般会附着在电子邮件中，另外还可以存在于网页上，U盘里，光盘中(采用自动播放功能)，甚至iPod或数码相机里。我们在本文中用到CANVAS 和Metasploit 测试就可以被归类为木马。

　　蠕虫：这是让系统管理员们头疼的一大原因。蠕虫会利用常见软件的一个或多个漏洞，对系统进行入侵。一旦进入一台系统，它会尝试着继续进攻其它与之相连的系统。Slammer蠕虫 和 Blaster蠕虫对于互联网的影响最大，最近的Conficker蠕虫也引发了大量问题。

　　反病毒产品

　　企业版的反病毒软件套装不论是哪家公司，基本都是一样的功能。他们基本包括了反病毒组件，防火墙或者包过滤组件，web以及邮件扫描组件。另外企业版的反病毒软件一般还带有管理控制台，可以让管理员进行分布式安装工作，以及更好的管理网络中的反病毒软件。同时，企业版的反病毒软件一般都带有病毒库查毒以及启发式查毒功能。而我们的测试是要从中找出最优秀的。

　　准备测试

　　为了本次测试，我们收集了2297个病毒和恶意软件代码片段，以便尽可能的实现多样化和公平化。最终的含有恶意代码的文件包括：

　　· 1541个Windows可执行文件 (PE 文件)

　　· 500 个MS DOS可执行文件

　　· 156 个各类杂项文件

　　· 66 个Office 文档

　　· 23处主引导区记录被感染

　　· 11 个ELF 文件(这是Linux和Unix系统中最常见的可执行文件格式)

　　为什么要在Windows系统上测试 Unix 文件呢?由于Windows系统数量众多，导致很多针对其它系统的病毒借助于Windows系统进行发送和传播，因此从安全延伸的角度讲，我们不但要保护自身系统，还要保证自己的系统不会将病毒传播给其它系统。正所谓网络安全，人人有责。

　　除了各类恶意软件，我们还加入了来自Metasploit 框架和 Immunity CANVAS Professional的文件。这两种工具都是用来进行远程入侵的，并且包含了大量的黑客工具。我们利用这些工具进行网络的反渗透测试以及个性化的攻击。

　　这些工具不但能让我们观察反病毒软件是如何对抗攻击的，而且由于这些工具所利用的技术很大程度上类似于病毒和rootkits，因此他们可以让反病毒软件发挥出其最大能力。

　　细节

　　通过 Metasploit我们创建了一个简单的绑定shell程序，一旦激活便可以与某个端口绑定，并给远程接入方一个shell。接下来它通过SMB将自己拷贝到安装有安全软件的Vmware虚拟机中并执行，查看安全软件是否能有所动作。

　　接下来我们还会将这个程序进行加密，查看反病毒软件是否能将其截获。通过Metasploit 的msfpayload 和msfencode 程序，我们可以很方便的进行代码加密：

　　# ./msfpayload windows/shell_bind_tcp LPORT=7878 R | ./msfencode -e

　　x86/shikata_ga_nai -t exe > bind_nonx_tcp_shikata.exe

　　[*] x86/shikata_ga_nai succeeded with size 369 (iteration=1)

　　另外，我们利用 CANVAS中的BuildCallbackTrojan 工具建立了一个回调程序，它的作用类似于MOSDEF。同时我们还开发了一个HTTP下载器，激活后可以连接指定网站下载一个新的可执行文件。

　　通过 CANVAS我们可以测试反病毒软件对于不同位置的攻击的反应情况，以及恶意软件安装程序和隐藏进程等黑客攻击的常用手段。

   对于我的系统，它是做什么的呢？

　　我们同时还比较了不同安全软件对于系统内核和用户区的修改情况。一般来说，反病毒软件会使用一种叫做hooking 的rootkit技术。Hooking可以让反病毒软件拦截和检查普通程序在System Service Dispatcher Table (SSDT)区域(Windows系统功能所存储的内存位置)的每一个功能调用。

　　比如主机入侵预防系统 (HIPS)程序会与SSDT中的ZwCreateFile 功能函数挂钩，因为系统在每次打开或创建文件时，都会调用这个函数。这就让安全软件能够做到实时的监控每一个打开的文件。通过检查安全软件的钩子，我们就能看到它的拦截能力，从而对它的性能有所了解。

　　但是安全软件这样做也有一个问题，即挂钩的功能函数越多，系统性能所受到的影响就越大。因此一定要在安全性和系统性能损失这两方面取得平衡，选择最恰当的功能函数进行挂钩。

　　为了检查安全软件所挂钩的功能函数，我们选择了一款名为 GMER 的rootkit检测和杀除软件。这款软件的名字来自它的波兰设计师Przemyslaw Gmerek。软件的功能强大而且丰富，包含隐藏进程，线程，模块，服务，文件等的检测，以及替换数据流，注册表键值，SSDT以及其它类型的Hooking。

　　如图GMER列出了McAfee的hooks.

　　另外，我们还采用了Dark Elevator 来检查反病毒软件是否带有任何许可权问题。这个工作用来确定所安装的反病毒软件是否会降低某些系统安全服务的优先级。

　　Dark Elevator检查所运行的服务的权限级别

　　平台/软件

　　测试采用的平台是Windows XP Professional Service Pack 3，补丁都已经安装到最新版本。我们建立了一个独立的镜像，并将其克隆到VMware Server。每个杀毒软件都安装在相同的环境里，从而确保了测试公平性。

　　在必要时，我们在Windows Server 2003虚拟机中安装集中管理软件，另外我们还是用一台Windows XP Professional操作系统的笔记本进行额外测试，以便确保Vmware本身不会影响到测试结果。

　　测试方法

　　我们为每个网络安全产品提供统一的Vmware镜像，并按照以下程序操作：

　　· 用 Wireshark 进行数据包捕获：通过这个软件，我们能从网络的角度看反病毒软件是如何动作的，尤其是它的安装和升级过程。

　　· 安装和配置网络安全产品。安全软件是按照标准模式安装的，带有全部功能，包括网络防火墙。如果能够设置，我们都将软件设置为一旦发现潜在威胁，就进行删除，而不是将文件放入隔离区。按访问扫描的模式也被我们关闭了，因为我们经常需要浏览存放病毒样本的文件夹。

　　· 研究反病毒软件是如何工作的：GMER实时查看反病毒软件的工作动作(大部分软件都将GMER.exe 列为了可疑程序，因为其向系统内核加载了驱动)

　　· 防火墙测试：使用CANVAS callback shells 测试平均出口过滤规则，以及通过telnet或IE尝试访问外部端口的可能性。另外我们还检查了防火墙软件中的各种可手动设置项目，判断是否有特殊优势或潜在风险。防火墙的外部测试采用Nmap进行试图绕过防火墙的测试。

　　· 网络负载测试：我们使用各种工具将网络负载加到最大程度，查看防火墙的工作状况。

　　· 默认文件权限：每次安装好杀毒软件后，我们都会对杀毒软件所在文件夹和文件进行权限测试，查看权限是否正确。这和我们做其他渗透测试是一样的。

　　· 恶意软件扫描：将防火墙禁用后，我们把所有恶意软件样本发送到主机上。所有的恶意软件均被检出并被删除。在这之后，我们会将这些恶意软件进行打包，通过网络常见的打包软件(VMProtect, Obsidium, Multi Packer and UPX)将他们的代码进行封装。由于打包后的恶意代码有所改变，因此这个测试可以查看反病毒软件对于此类伪装的识别程度。

　　· 使用商业框架攻击： 通过 CANVAS我们可以模拟多种攻击机巧，查看安全软件对此的防御程度。

　　这些测试中显示了两条信息：Wireshark显示没有任何值得我们特别关注的异常现象，另外所有安全软件的默认设置都是合理的。