Robert Lemos, SecurityFocus 2008-08-09
拉斯维加斯 ―― 周五,三组安全专家同时在比赛利用一组知名病毒进行攻击,将恶意代码转换成主要防病毒软件不能察觉的表面正常的代码。
由新西兰安全研究者Simon Howard运营的备受争议的“零病毒检测”竞赛允许各个参赛队伪装计算机病毒代码和漏洞利用代码样本。从古老的石头病毒开始,参赛者的任务是隐藏病毒代码并且潜过一组专门的防病毒引擎,当一个病毒顺利避开扫描后,就开始一组病毒中的下一个。
“比赛越往后,代码样本越难伪装,”组织者Howard说,“漏洞利用代码更难于伪装,因为有特色的扫描软件对于潜在的漏洞具有相当好的特征识别库。”
截至第一天,三个小组完成了所有九个代码样本――七个病毒和两个漏洞。先完成第一个样本的是来自iDefence公司的三个研究人员,花了五小时多一点儿完成比赛。然而,另一个稍晚开始比赛的小组用了两小时二十五分成功的完成了所有九个病毒代码样本的伪装。另一个也完成了比赛的小组拒绝了采访。
Howard说,参赛队的完赛速度提醒当前的防病毒引擎存在问题。“基于特征的检测不起作用了,”(译者:原文如此,我认为意思是指对目前日益增多的病毒变种,基于特征的检测技术已经落后了。)他说,“行为识别技术是将来的方法,现在只有一些桌面防病毒软件采用了这一技术,而没有任何一种服务器防病毒软件使用这一技术。”
对于防病毒业这并不是什么新的经验,2006年,研究人员就已经开始在他们的防病毒产品中采用行为检测技术来检测针对少量目标进行攻击的木马。去年特征检测技术的问题日渐突出,网络攻击者越来越多的使用代码伪装技术制造出大量的病毒变种,更加重了防病毒分析工作。截止2007年底,坊间检测到的病毒变种已达500,000。
“零病毒检测”竞赛表明,在经过合适的数位装扮后,即使是古老的病毒也能骗过最新的防病毒引擎。比赛用的第一个病毒是1998年的石头病毒。随后的著名恶意代码形成了一个“名毒录”: Netsky, Bagel, Sasser, Zlob, Welchia, and Virut(译者:怎么不用CIH,尼姆达,熊猫烧香呢:(!)。最后是三个漏洞:一个是攻击Microsoft Word的,一个是利用Microsoft's animated cursor vulnerability漏洞的,最后是利用Microsoft's SQL数据库引擎漏洞的Slammer worm蠕虫。
起初比赛包括所有十个恶意代码样本,但由于大多数参赛者缺乏合适的Windows 2000版本,Howard排除了Microsoft Word漏洞代码。
比赛用的防病毒引擎铁护手来自所有主要的安全软件产品,引人注意的是不包括SecurityFocus的所有人赛门铁克(Symantec)。Howard用防病毒引擎的命令行接口来为编写测试脚本,但Symantec的产品只提供GUI接口,他说他也没有足够的时间找到变通办法。
修改真实的恶意代码来绕开防病毒软件没能让很多安全厂商高兴。
“世界上的犯罪分子每天在编写和扩散新的恶意软件还不够吗?”防病毒公司Sophos四月在博客上说,“还是嫌身份和信用欺诈的犯罪活动不够流行?现在,伪善的编码者将被质疑:假借推动更广泛和通用的检测技术,把恶意代码这个泥潭越搅越混。”
Howard坚称他触到了防病毒公司的痛处。比赛采用的网络是封闭的,没有和互联网连接,以避免任何疏忽造成的代码泄露。“他们害怕代码样本流入坊间,”他说,“所有的样本会连同制作小组的名字提交给防病毒产商,因此要是有泄露,产商就会知道是来自哪个小组。”
参加比赛、制作伪装好的病毒、通过防病毒检测并不是很困难――如果你可以使一个病毒通过所有的扫描器,你就可以让全部病毒都通过。完成了比赛,附属于VeriSign的iDefense的研究小组说。
“那些坏蛋就是这样做的,”Matt Richard,iDefense的应急响应主管说,“只要得到一个可用的混淆器(packer),他们就用来干坏事。”Richard和他的两个同事花了五小时多一点完成了比赛,他说比赛很有价值,因为它教导研究人员要重视他们的敌人。“有时为了摸清那些坏蛋会怎么做你必须编写一些东西,”Richard说,“这些东西和我们在比赛中用的干一样的事情,但只在研究室里。”
对于比赛组织者Howard来说,对公司和个人用户的教训远多于防病毒业界。他希望对比赛的任何报道可以向防病毒用户传递这样一个信息。“如果爸爸妈妈看了报道,进到他们的防病毒设置里打开行为特征检测,那么举办这个比赛就完全值得,”他说。
【本文翻译仅为外语学习及阅读目的,原文作者个人观点与译者及译言网无关】
