恶意网络逞凶 Blue Coat负日防御能否先发制人

近日，Blue Coat“负日防御（Negative Day）”技术来了，这项全新的概念在RSA 2012年大会上引起众多用户关注。这次Blue Coat将最新的《Blue Coat 2012年网络安全报告》和搭载了其“负日防御”技术的的统一web安全网关，一起带到了中国市场。

负日防御的最核心理念就是要告诉全球500大的恶意网络操控者，“你们就在Blue Coat的WebPulse（网络脉动）的眼皮下”，同时颠覆已经演进了多年的主动防御技术，并赋予其全新的理解。听听Blue Coat系统公司北亚区高级产品市场经理申强如何解析目前全球的安全发展趋势和Blue Coat的产品解决方案。

恶意网络地盘黑客做主?

在《Blue Coat 2012年网络安全报告》中指出了：2011年恶意网络（全称是恶意软件网络）成为了网络威胁的的新动向。在报告中的目前安全威胁现状指出，“2011年恶意链接URL的数量增加了240%，超过三分之二的攻击利用了恶意网络。”这两项数据都与恶意网络有关，恶意URL是恶意网络实现复杂，诱骗引导用户，并最终将恶意负载安装到终端的最主要途径。

那么到底什么是恶意网络？他与传统的僵尸网络，以及近几年风生水起的APT攻击到底有什么不同？

Blue Coat是这样定义恶意网络的。恶意网络：会收集用户，一般是用户访问受信网站时，并通过不断转换到新域名和地点的转发、入侵和负载服务器将用户引至恶意软件。其实这是恶意网络的目的，说白了恶意网络就是黑客的地盘，一个完全由黑客操控的一组服务器主机，包括独有域名，服务器和网站等，这组服务器的最大数量会达到4820台，最小仅仅有两台，而且这些服务器有着明确的分工，而且不会那么稳定。

目前Blue Coat安全实验室跟踪了全球最大的500个恶意软件网络，比如最大的SHNAKULE恶意网络，它的恶意主机数量平均保持在1200多台，最多的时候超过3300台，而上文提到的4820台主机曾经属于GLOMYN恶意网络。

申强表示，“这500大恶意网络由不同的运营者控制，但也不排除某个服务器或网站同时被多个运营者控制，但很明显不同的运营者并不会共享各自的目的和内容。”

恶意网络 VS 僵尸网络 VS APT

你也许会说，好似规模不太大啊？其实不然，这些主机分布在全球的企业、网站、甚至是更重要的互联网服务器。这个数量显然与2010年被捣毁多达13万台的僵尸网络“蝴蝶Mariposa”无法比拟，但目前大多数的僵尸机是通过恶意网络而感染的。

如果将恶意网络和僵尸网路统称为“具有黑客性质的网络犯罪网络的话，那么恶意网络就是黑老大，僵尸网络是打手。

僵尸网络是通过各种手段在大量电脑中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络，攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动，比如DDOS攻击。

僵尸网络是由个体僵尸机组成的“打手群体”，而成就它的是通过各种手段达到控制目的的恶意网络“黑老大”。

申强解释道，“恶意网络是僵尸网络形成的重要途径之一，当恶意网络通过复杂的流程将计算机引诱到入侵服务器并成功在计算机植入后门或木马后，一台僵尸机就诞生了。当然植入的恶意负载还包括蠕虫病毒、恶意代码等。同时Blue Coat也看到恶意网络和形成的僵尸网络会形成互动，为其最终目的服务。简言之，恶意网络的组成是服务器主机，僵尸网络是受控计算机组成。是因果和先后关系。”

再来看看恶意网络与APT（高级持续性威胁）攻击的不同，APT攻击自从2010年stuxnet（超级工厂病毒）的震网事件后，已经成为了安全威胁的“明星”，有人认为它是一个营销噱头，有人认为它更能代表安全威胁的黑客主义。但不管怎样，“APT在那里等着你，等着你的数据，等着你的失误。”

美国国家标准和技术研究院对APT给出了详细定义：精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务，程序；又或者是潜入对方架构中伺机进行偷取数据。APT威胁：1.会长时间重复这种操作;2.会适应防御者从而产生抵抗能力；3.会维持在所需的互动水平以执行偷取信息的操作。

申强指出，“APT具有极强的目的性和动机，潜伏周期长，瞄准政府机构、公共事业、金融领域甚至是安全厂商的知识产权。这与恶意网络所覆盖的群体完全不同。”

煞费苦心的恶意网络布“局”

而其实恶意网络的最主要目标是引诱用户共享个人或财务信息，具有极大的经济利益意向。这也就是为什么恶意网络控制者不惜代价要控制互联网上重要的服务器和网站，并通过复杂多样，最具吸引力应用的入侵方式诱骗用户，并最终将其控制。

通过其操控的分布式互联网基础设施，通过建立、管理和维护恶意网络，长期对无防备的用户发起攻击。

申强指出，“2011年最主要的恶意网络入侵方式是搜索引擎/门户网站，电子邮件、社交网络、色情内容和其他入侵方式。其中，搜索引擎/门户网站占到了40.17%，电子邮件占到了11.62%，社交网络占到了6.48%，色情4.4%，其他包括恶意网络广告，基于移动设备的内容等。每142次搜中就有一个导致恶意链接，基于电子邮件的恶意网络攻击增长了68%，而且带附件的电邮邮件正在走向没落，而恶意URL通过电子邮件传播正在不断增加。”

申强还强调，如何让用户掉进恶意网络的诱饵，恶意网络的运营者也煞费苦心，“他们会结合全球热门的内容制造诱饵，比如体育赛事、突发新闻、节假日、选举、名人内容等诱骗用户至恶意网络的基础设施，并打开恶意负载；而这些恶意代码、木马和病毒等会隐藏在在线存储、开放/混合内容、软件下载、内容服务器、动态DNS主机中；并逃过安全工具的扫描和监控。”

负日防御真能做到先发制人？

之所以上面花了这么大篇幅来交代恶意网络背景，因为这是一个全新的定义，Blue Coat揭示了安全威胁背后黑手的样子。让我们看到了一个真实的黑客组织面貌，也许我们似曾相识，但却总是模模糊糊。虽然目前恶意网络的定义，我还未在其他厂商的安全报告中看到，但基于应用、基于WEB的安全威胁趋势，产业是有共识的。同时也看Blue Coat如何释疑负日防御真的能做到先发制人。

引用申强的原话，“Blue Coat的网络脉动跟踪了这500个恶意网络，并进行监控了其控制所有的服务器主机，包括新的主机和废弃的主机，洞悉恶意网络的一举一动。”通俗点理解，是不是一幕现实版的“无间道”。不仅仅是知己知彼，要战胜对手，你就要比对手更“狡猾”。

申强指出，“从零日攻击开始到可有效拦截这个期间，威胁的破坏时最严重的，今天Blue Coat的负日防御技术就是要在真正的攻击发生前，对其有防御能力，并通过WebPulse将通知下发到全球的Blue Coat网关设备。通过Blue Coat安全实验室对主要恶意网络的跟踪，在黑客攻击前，就能发现其大规模的组织服务器，并持续监控，在发动攻击时，网关第一时间阻断攻击网络和被攻击站点的连接。”

所以，我们可以看到Blue Coat获得了零日攻击前的应对方式。核心机制是对恶意网络的清晰认识。接下来通过去年2011年10月发生的Urchin网站注入式攻击，详细分析负日防御如何完成对这次攻击的提前阻断。

Blue Coat安全实验室绘制了恶意网络组件间的关系图以识别和阻挡联机时的新子网、IP地址和主机名。一旦恶意网络基础设施被识别，即可在攻击发起前将其阻断于源头。图中显示了工作中的负日防御机制。Urchin的攻击发起于2011年10月，而WebPulse协作防御机制早在6月就识别和阻挡了该攻击。

申强告诉ZDNet，“负日防御理念与传统的基于启发式引擎的主动防御技术的不同在于，我们确实可以做到在零日之前，并主要针对逐渐增长的恶意网络安全威胁，准确率和误报率要高于主动防御技术。基于WebPulse协作防御体系的负日防御技术，仅仅是WebPulse 17种防御引擎之一，其他的16种传统防御引擎依然针对不同的安全威胁，主要是Blue Coat看到目前恶意网络的危害最大。”

同时据ZDNet了解，Blue Coat针对恶意网络、移动安全威胁、云计算安全等安全模式的转变，提出了从保护网络到保护用户的思路，并发布了针对本地终端、安全即服务和混合安全环境的随时随地的统一web安全解决方案。同时Blue Coat已经在继悉尼、新加坡和香港之后，在北京建立其亚太区的第四个Blue Coat WebPulse网络脉动数据中心，以应对本土化安全威胁的挑战。

采访手记：

在采访过程中，Blue Coat并未透露针对恶意网络，WebPulse具体采用了怎样的技术细节完成对恶意网络组织的渗透和监控，显然目前“负日防御”技术的有效性还有待市场和用户的进一步验证，但Blue Coat提出的这一概念，也许真的会在未来给安全市场带来一番新的面貌，让主动防御真的主动。

关于WebPulse：

WebPulse是个基于云端、实时分析和评级的服务，以联合防御保护所有用户。透过Blue Coat ProxySG设备和Blue Coat Cloud Service，WebPulse单日内可接收到来自全球7500万用户的10亿个网页内容要求。WebPulse对网页生态系统有透彻的了解，能自动分析异常流量及将其与已知的恶意网络联系起来，以在它们发动攻击前便作出封锁。透过此技术和其它先进的分析工具，WebPulse每日能够封锁330万个威胁。