偷渡式恶意软件终结者：刀锋

　　偷渡式下载终结者(刀锋：BLADE)是佐治亚理工大学计算学院研究人员和斯坦福研究院心血的结晶，它定位于遏制偷渡式恶意软件的泛滥。根据来自一家正在对基于网络的20多万种不同类型恶意软件进行跟踪的公司Dasient.com的观点，它的功能非常强大。

　　什么是偷渡式恶意软件?

　　关于这种类型的恶意软件，我在以前的文章中曾经做过介绍。但是，该研究团队在发表的论文《刀锋：一种利用不可知方式攻击防止感染偷渡式恶意软件的方法》(PDF格式)中给出了一些我原先不知道的内容：

　　“偷渡式感染的目的是在使用者不知道的情况下以临时控制客户端网络浏览器的方式发挥作用的，它可以强制提取、保存并执行二进制应用程序(举例来说，.exe、.dll、.msi、.sys等格式的文件)。”

　　偷渡式恶意软件是通过临时渠道下载所需的恶意软件部分到计算机上是我刚刚知道的事情。让我们来看看研究人员认为它是如何进行工作。

　　感染过程

　　所有这一切都开始于一位倒霉的受害者连接上被破坏的官方网站或者无意点击了一条被偷渡式恶意软件感染的链接。随之而来的，就是代码注入攻击，它由三个阶段组成：

　　Ø 壳体代码注入阶段：该代码可以通过感染网络浏览器组件中的漏洞实现下载，并在暗中获得对浏览器的控制。

　　Ø 壳体代码执行阶段：完成下载的代码可以被注入到网络浏览器的进程中。

　　Ø 隐藏二进制代码安装阶段：受到破坏的网络浏览器会尝试从攻击者的网络服务器上提取恶意软件。该代码在受害者计算机上的安装过程和所有破坏活动都是暗中进行的，不会被发现。

　　研究人员还发现，在某种程度上偷渡式恶意软件可以避开对下载和执行.exe、.dll和.sys格式文件所需用户权限的限制。有了这些第一手资料，研究团队开发出了刀锋。

　　刀锋的设计标准

　　在设计的时间，为了防止未经授权的内容执行，刀锋采取的是独立于浏览器的操作系统内核级扩展模式。我的理解就是，这意味着刀锋可以拦截所有未经使用者确认的下载内容并阻止其执行。

　　为了实现这一目标，研究团队给刀锋配备了以下的功能：

　　Ø 实时捕获与解释用户授权：这是刀锋正常工作的关键，对用户使用浏览器的情况进行监测，获取相关信息，并决定是否容许下载。

　　Ø 确认授权与下载内容之间的实际相关性：刀锋必须能够区分出用户利用网络浏览器进行的和未经授权的下载之间的区别。

　　Ø 对可执行文件进行严格的预防管理：严禁执行未经授权的内容。

　　Ø 管理功能具有浏览器无关性：在运行的时间，刀锋的工作不依赖于网络浏览器。这一点是至关重要的，因为新的网络浏览器技术随时都会出现。

　　Ø 应用与回避具备独立性：刀锋必须利用这种独立性来防御攻击者利用网络浏览器进行的任何破坏。

　　Ø 保证系统性能高效实用：网络浏览器的性能绝不能受到影响，也不容许导致拖延。实际上，刀锋不会给任何操作带来明显影响。

　　刀锋是怎样进行工作的

　　为了发现不请自来的下载企图，刀锋在内核空间里运行了下列进程：

　　Ø 用户交互追踪：刀锋利用屏幕分析器、硬件事件追踪器和监控器来对用户使用网络浏览器的物理操作进行监督，尤其是在出现下载授权要求的时间。

　　Ø 同意相关性：该进程是刀锋区分易识破的和需要用户授权才能进行的下载所必须的。

　　Ø 磁盘输入/输出重定向：当刀锋确认了下载未经授权后，就会将代码重定向到安全区域。该数据也会被禁止加载到内存中执行。

　　下面的图片(由研究团队提供)展示的就是刀锋的系统架构。

　　保证刀锋正常运行的关键部分是确认下载是否获得授权。这样的操作是基于我不了解的另一个关于网络浏览器的真相。

　　研究团队发现网络浏览器采用的是一条明确界定的进程来确认下载是否可以实现。对于刀锋之类的应用来说，这意味着关注专门的下载授权即可，仅仅需要来自不同类型网络浏览器的几个例子，就可以确认大多数下载授权的企图。

　　下面的图片(由研究团队提供)解释了刀锋是如何对授权进行检查的：

　　如果希望对所有组件进行深入了解的话，请阅读研究团队提供的论文。

　　刀锋的实际效果如何?

　　在实际环境中对刀锋进行测试后，得到了如下所述的结论：

　　“在过去的48小时里，我们每天都利用自动接收到的来自多个白帽资源的恶意软件链接对刀锋防御潜在偷渡式地址的功能进行了全面的测试和评估。为了验证刀锋的浏览器和应用无关性，所有的地址都针对不同配置多种版本和插件的浏览器进行了测试。系统调用和网络痕迹也被用来测试是否会出现漏网的情况(假阴性)。”

　　研究团队已经发布了一个包含对结果进行评估内容的网页。有趣的是，他们的数据似乎证实其他一些安全专家对奥多比产品的看法：

　　研究报告的数据显示，在接近19000起实验中，刀锋保持了零误报和零漏报。这意味着，刀锋阻止了所有类型的偷渡式恶意软件的扩散。

　　这并不等于说它是万能的

　　刀锋是用来阻止偷渡式恶意软件写入硬盘中的尝试。目前，它非常有效，可以防范绝大部分采用这种模式的偷渡式恶意软件。但是，安全专家担心如果风险仅仅驻留在内存中的话，刀锋可能无法识别。

　　并且如果恶意软件是利用社会化工程模式进行安装的话。由于是用户同意下载的，刀锋也就无法发挥作用。

　　最后，开发商担心刀锋可能会对在后台进行下载的Windows更新工具之类的合法软件造成损害。

　　最后的思考

　　研究团队的工作再次表明，保持操作系统和所有应用程序(尤其是奥多比产品)是最新版本的有多么重要。如果没有漏洞，偷渡式恶意软件就无法立足。

　　我也明白刀锋不能解决所有的问题，但在安全武器库中，它依然属于非常有力的工具。