恶意软件：一场无休止的战争

数据来源：波耐蒙研究所 “2013网络犯罪成本的研究”(恶意的内部人员包括员工、临时工、承包商和业务合作伙伴)

自安全厂商向恶意软件正式宣战至今，已取得了诸多阶段性的胜利，今天已经不会再看到三、四年前大范围传播的恶意软件种类，比如2000年 “ILOVEYOU”病毒。然而，恶意软件的复杂性以及其背后经济利益的藩篱，使得反恶意软件之路注定充满了艰难险阻。如表格所示，以恶意代码、基于 Web的攻击、拒绝服务等新兴途径为代表的恶意软件和威胁通常使用一些巧妙的技术来躲避传统基于签名的反恶意软件的检测。入侵防御系统、网页过滤和防病毒产品已经无力抵挡最新类别的攻击，这种最新类型的恶意软件威胁将复杂的恶意软件与持续性的远程访问特性相结合，目的是在一段较长的时间内，窃取企业的敏感数据。在对抗恶意软件的过程中，企业过于被动，往往只会在被黑客攻破防御时做出改善。大多数软件仍然充满了漏洞，供应商却通常要等到漏洞公开暴露以后才会予以解决。

恶意软件的新战场：Android

反病毒技术公司卡帕斯基和网络设备厂商Juniper Network进行的研究显示，去年移动恶意软件和威胁数量激增614%。Android设备市场的持续增长，直接导致了绝大多数移动恶意事件开始针对 Android平台。自2010年以来，针对Android的恶意事件快速增长，在移动恶意事件中的占比由2010年的24%增长至今年的92%。专家认 为，Android的开发和Windows的早期市场之间存在诸多相似之处，硬件厂商为其产品采用了第三方操作系统，却没有一方可以确保安全。同时安卓市场上，电信运营商的额外参与也是一个复杂的因素。

快速攀升的威胁数字充分表明，网络犯罪分子对爆炸性增长的移动平台有着异乎寻常浓厚的兴趣。Android系统的开放性导致针对Android的恶 意软件更加容易安装在系统中;此外，智能手机的缴费功能也成为对恶意代码极具诱惑力的攻击目标。移动恶意代码很容易隐蔽地嵌入正常软件中，不易被察觉。在 设计新的恶意软件和发布策略时，恶意软件的制作者越发像非法牟取暴利的企业。通过发布针对Android的恶意软件，其微不足道的“投资”却能赢得极大回 报。

对此，技术专家建议用户，应在产品官方网站或者官方应用商店下载应用，尽量避免在第三方市场下载应用;在程序安装过程中，注意使用权 限，Android系统在软件安装过程中会显示程序运行所需的权限，比如看书软件却要求发送短信、拨打电话权限，中间会存在吸费软件的可能;最后，安装必 要的防护软件仍然必不可少。

恶意软件攻击的新类型：APT

如今最常发生的攻击可分为两类：高级持续性威胁(APT)带来的恶意软件和木马、特马、病毒、后门、间谍软件等。2001到2005年期间，包括冲 击波、特马、病毒、后门在内的恶意软件都具有快速传播的能力。无论当时这些恶意软件将安全厂商和安全相应组织打的多么措手不及，安全团队的感知时间从未超 过24小时。从另一方面来看，应对这些传统恶意代码的机制主要是一种捕获、识别、分析、提取签名、发布规则库，由于不超过24小时，这种机制在蠕虫时代和 病毒时代一直运行良好。

最新的APT恶意软件威胁案例是由资源丰富、具有高超技术和耐心的组织制造的，大约每月出现一次，特点是瞄准一个特定目标进行攻击。典型的例子是 2010年的Stuxnet病毒，目标是使伊朗的核研究实验室离心机快速旋转以自毁。APT时代，安全厂商已经由“24小时”敏锐感知能力退化到了以 “年”乃至若干年为单位的迟钝感知能力。恶意软件作为APT攻击过程的一部分，主要以窃密和远程控制为主，攻击成本较高，针对的目标也相对重要，比如可能 涉及商业机密、国家机密等。这类恶意代码的分布不再与信息化程度相关，而是和它的初始投放目标和地理位置有关。APT攻击有四个特点，第一是定向攻击;第 二是针对某些安全产品进行攻击，攻击者对对方的信息了解甚多，包括操作系统、使用的软件(安全软件、邮件账号、微博账号等等);第三是利用文档发起攻击; 第四是APT攻击往往包含零日漏洞和特马。

从技术层面讲，APT攻击可能会用到我们所有已知的攻击技术，包括但不限于例如扫描、钓鱼、社会工程学等手段，且极有可能跟真实的企业间谍配合。总之，APT攻击手段可谓无所不用其极。

防御恶意软件的有效手段

行为监测： 采用这种技术，你可以发现计算机运行时的即时恶意活动，或者确定可疑文件是否将对虚拟的诱饵作出反应。监测APT攻击和零日漏洞较为有效的手段是沙盒技 术。沙盒使用多种技术来识别潜在的恶意软件威胁。首先使用网络流量分析来发现网络上的潜在威胁，并分析其行为类型和可疑的文件。然后这些文件会在一个虚拟 机环境中被审查和分析，这个虚拟机是使用一套不同的操作系统和软件版本。最后这些文件对虚拟机环境所作的更改会被记录下来，生成一个报告，展示虚拟操作系 统和软件各个部分的更改。基于该报告，这些文件可以被确认为恶意软件。优势在于，无论恶意软件使用哪些技术来隐藏其载体，总会需要以某种方式来影响操作系 统，这样沙盒软件就会检测到它。沙盒技术包含两个阶段：检测到威胁，然后将检测到的威胁送入沙盒，这样可以很大程度地降低误报和漏报。

设置黑名单与白名单：设置黑名单，可用来阻止访问列入不受欢迎的网站和文件;而白名单本质上是与黑名单相反的，用户只允许访问安全的网站和实体的文 件列表，访问不在名单上的网站和文件访问会被拒绝。在计算机安全中，黑名单和白名单的设置是一种简单有效的方法，更新黑白名单可快速通过更新服务器来实 现，大多数防病毒程序使用的是黑名单技术来阻止已知威胁，垃圾邮件过滤器往往需要依赖于黑名单技术。黑白名单技术只在某些应用中能够发挥良好作用，当然前 提是名单内容的准确性和完整性。但黑名单与白名单的问题在于，只能抵御已知的有害的程序和发送者，不能够抵御包括APT及零日漏洞等在内的新威胁。

其他防御手段包括可以防止入侵的下一代防火墙，作为Windows操作系统的一部分，并定期供应商解决漏洞补丁。此外，坚持使用最新的杀毒软件、下 一代防火墙、定期升级安全软件并使用强密码，对于抵御大多数恶意软件仍旧奏效，以上技术可以阻止今天乃至几年内的主要攻击事件。

安全专家表示，10年前向大家介绍了抵御恶意软件的最佳实践，今天仍然要建议大家：具备良好的安全软件，掌握有效的安全常识，并及时更新系统，以及不要轻易链接看起来并不正确的电子邮件，对于新旧恶意软件同时存在的今天依然有效。

恶意软件在不断发展，依赖于单一的恶意软件防御系统，或在较长的一段时间内依赖于各种防御方法的相同组合，都是不明智的决定。因此，大多数反恶意软 件的供应商都表示他们使用了以上若干武器某种形式的组合。我们不能想当然地认为，现在用来保护最宝贵IT数据的工具在五年之后还可以使用。例如，基于签名 的反恶意软件已渐渐退出舞台，同时新的技术已慢慢成熟，因此不停地重新评估威胁环境，并作出相应的防御战略调整对于打赢恶意软件这场持久战是至关重要的。