科技 > 互聯(lián)網(wǎng) > 正文
字號(hào):大 中 小
騰訊電腦管家劉釗:如何手撕一個(gè)木馬
- 發(fā)布時(shí)間:2016-05-06 13:11:23 來源:光明網(wǎng) 責(zé)任編輯:張潔欣
在進(jìn)入騰訊之前,劉釗和木馬病毒并沒有什么“交情”。他印象中唯一一次和病毒親密接觸就是1998年,他的電腦突然無法開機(jī)。“現(xiàn)在回想起來應(yīng)該是中了 CIH 病毒,因?yàn)槟翘煺檬?6號(hào)?!比缃褚呀?jīng)成為反病毒安全專家的他對(duì)雷鋒網(wǎng)回憶。(作者注:CIH 病毒是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒,曾在1998年廣為流傳,作者為陳盈豪。)
2010年,研究生學(xué)習(xí)信息地質(zhì)學(xué)的劉釗加入了騰訊,負(fù)責(zé)電腦管家的界面開發(fā)。然而沒過多久他就發(fā)現(xiàn),在電腦管家里有著一種遠(yuǎn)比設(shè)計(jì)界面更加有趣的工種,那就是為電腦管家提供“炮彈”——用各種姿勢絞殺木馬。
而一旦親手摸到病毒和木馬,這個(gè)漢子的天賦異稟便噴薄而出,從此義無反顧地踏上了反病毒木馬這條“不歸路”。
騰訊電腦管家 安全專家劉釗
木馬“收割機(jī)”
木馬和恐怖片里的僵尸有著一個(gè)共同的特點(diǎn),那就是:如果你選擇一對(duì)一的徒手搏擊,對(duì)方在數(shù)量級(jí)的優(yōu)勢絕對(duì)會(huì)讓你死相凄慘。
每天全世界的黑客都會(huì)如細(xì)胞分裂般地制造出無數(shù)木馬。而“優(yōu)秀”的木馬又會(huì)產(chǎn)生成百上千的變種。面對(duì)木馬的海洋,安全研究員需要一個(gè)“聯(lián)合收割機(jī)”。
劉釗參與研發(fā)的這臺(tái)“木馬收割機(jī)”名為哈勃分析系統(tǒng),是騰訊電腦管家的后方“火力支援”。如同天文望遠(yuǎn)鏡哈勃一樣,這個(gè)哈勃也擁有無數(shù)的鏡組,這些鏡組就是判定惡意程序的“規(guī)則”。每天,全世界的全量樣本都會(huì)經(jīng)過系統(tǒng)自動(dòng)篩查,那些已知的木馬和完全無害的程序通過無數(shù)條已知的規(guī)則篩查,會(huì)被瞬間分進(jìn)“黑”“白”兩個(gè)名單。而少數(shù)系統(tǒng)無法判斷的灰色程序,就是劉釗們的任務(wù)。
他必須使用各種姿勢對(duì)其中典型程序的行為進(jìn)行研究,直到明確了這些程序的真實(shí)身份——非黑即白。針對(duì)這些惡意程序添加新的識(shí)別規(guī)則之后,系統(tǒng)就完成了一次升級(jí)。
說到底,劉釗和同事們用來驅(qū)動(dòng)哈勃的無數(shù)條“規(guī)則”才是對(duì)抗木馬的“終極大殺器”。
做軟件界面開發(fā)的時(shí)候,你是在和電腦交流,是嚴(yán)謹(jǐn)而精準(zhǔn)的。
做一般產(chǎn)品的時(shí)候,你是在和用戶交流,就像是在和朋友聊天。
而對(duì)抗木馬的時(shí)候,你是在和木馬的作者——一個(gè)活生生的黑客打交道。我的對(duì)手在千方百計(jì)地逃過追蹤,而我是要千方百計(jì)地抓住他。這不是在聊天,而是在斗爭。
這項(xiàng)工作在劉釗心中的魅力正在于此。
代碼背后的“黑影”
借助手上各種自動(dòng)化工具,一個(gè)簡單的新型木馬只需要幾分鐘就可以被識(shí)別出來;然而對(duì)于“高手”的作品,也許要花上劉釗幾天時(shí)間。
在劉釗眼里,這些病毒木馬背后的黑客們的水平可謂參差不齊,有些欺騙用戶的方法甚至很“質(zhì)樸”。他舉了幾個(gè)例子:
我們知道圖標(biāo)的樣子并不代表文件的后綴名。有一些木馬選用了一個(gè)壓縮包的圖標(biāo),但實(shí)際上是一個(gè)可執(zhí)行文件。這種方法自從有 Windows 那年就存在了,但是直到現(xiàn)在依然有木馬使用,也依然有用戶上當(dāng)。
很多人清楚“.exe”“.com”文件是可執(zhí)行文件,點(diǎn)擊的時(shí)候會(huì)慎重。但是他們不知道“.scr”也是可執(zhí)行文件。如果木馬偽裝成這個(gè) Windows 的屏保類文件,可以輕松騙過很多人。
還有很多木馬被黑客設(shè)置成隱藏文件,和一個(gè)“.bat”的批處理文件或快捷方式放在同一個(gè)壓縮包里。很多小白并不知道,只要打開系統(tǒng)選項(xiàng),就可以輕易看到藏身于此的木馬。一旦點(diǎn)擊了指向木馬的文件,就會(huì)瞬間中招。
在辦公室里,經(jīng)常傳來劉釗的惋惜。
在看到這類木馬的時(shí)候,我第一時(shí)間不會(huì)想到木馬的作者是什么樣的人。反而是想到的是受害的用戶,因?yàn)闆]有養(yǎng)成良好的安全習(xí)慣,才會(huì)上了這種簡單騙局的圈套。
黑客襲擊烏克蘭電站的內(nèi)藏宏病毒的 Excel 文件
然而,劉釗所代表的安全研究隊(duì)伍正在迅速壯大,他們的專業(yè)技術(shù)可以迅速賦能管家類軟件,用戶利用防護(hù)軟件可以輕易查殺這些“簡易木馬”。這種情況反而倒逼黑客不斷升級(jí)自己的“武器”。這兩年,黑客和安全研究員之間的“神魔斗法”突然變得白熱化,開發(fā)木馬的黑客們已經(jīng)把欺騙的對(duì)象從用戶轉(zhuǎn)移到安全研究員身上。
常見的宏病毒,是在Office文檔中加入一段 VB 代碼。然而現(xiàn)在很多黑客并不在常規(guī)的代碼位防止惡意代碼,而是放在窗體的文字里,這就可以逃避一些自動(dòng)工具的查殺。然而,為了逃避安全研究員的手動(dòng)查殺,他們還會(huì)把代碼文字的大小縮到最小號(hào),當(dāng)安全人員打開代碼查看的時(shí)候,什么都看不到。
另外,有一些黑客還會(huì)為木馬的指令進(jìn)行“加花”——采用CPU指令集里面非常冷門的指令。本來用一句“滾犢子”就能說明白的指令偏偏被說成“翻滾吧牛寶寶”。對(duì)于計(jì)算機(jī)來說,這些“加花指令”和正常的指令沒有區(qū)別;但是對(duì)于屏幕前的安全研究員來說,滿眼都是憂桑。
很多木馬會(huì)被作者隱藏在正常的應(yīng)用程序之中,他們僅僅改動(dòng)程序中的幾行代碼,就能達(dá)到惡意的目的。而對(duì)于這種“帶病的”程序,其中惡意代碼只占非常小的比例。當(dāng)那些“不說人話”的指令?yuàn)A雜在數(shù)萬行正常程序的代碼中的時(shí)候,手動(dòng)找到這些“李鬼”就只有理論上的可能性了。這個(gè)時(shí)候,最有效的辦法是把木馬放在沙箱中執(zhí)行,在動(dòng)態(tài)中觀察木馬究竟會(huì)做出哪些行為。
簡單說來,沙箱就是一個(gè)封閉的虛擬環(huán)境,惡意的程序會(huì)以為自己成功感染了用戶的系統(tǒng),從而開始惡意行動(dòng)。這樣就讓它們瞬間露出馬腳,現(xiàn)出原形。
然而,神魔斗法還遠(yuǎn)沒有停息。很多木馬“進(jìn)化”出了一項(xiàng)功能,那就是檢測自己是否在沙箱之中,或者檢測自己是否被安全研究員用動(dòng)態(tài)調(diào)試器所控制。
很多木馬在沙箱中會(huì)擺出一副人畜無害的姿態(tài),或者一旦遇到調(diào)試器就自動(dòng)崩潰。這個(gè)時(shí)候我們就需要審查木馬的代碼,檢查其中的“反制”代碼,然后選擇性地跳過這些代碼,再讓木馬跑一次。
劉釗所做的一切,都是為了最終抓住木馬“現(xiàn)形”的證據(jù)。而一旦掌握了它的行為,就可以滿心仇恨地用正確的方法“手撕”木馬了。一般的木馬會(huì)被提交到殺毒引擎中進(jìn)行查殺,而對(duì)于“特立獨(dú)行”的木馬,則需要開發(fā)專殺工具。
哈勃分析系統(tǒng)上線的木馬專殺工具
然而事實(shí)是殘酷的。從安全研究員開發(fā)查殺規(guī)則到用戶可以使用查殺工具,一定存在一個(gè)哪怕十分微小的時(shí)間差。
事后的補(bǔ)救永遠(yuǎn)是下策。
如果木馬足夠“野蠻”,很可能在你查殺的時(shí)候,它已經(jīng)成功把你的資金轉(zhuǎn)走,或者成功地破壞了你的文件。面對(duì)這些情況,我們也無能為力。所以最好的辦法是防患于未然。當(dāng)人們都能提高警惕,不運(yùn)行非官方的程序,不點(diǎn)擊可疑郵件或鏈接的時(shí)候,木馬才會(huì)無計(jì)可施。
“兇殘”的對(duì)手
身為安全專家,劉釗并不能戰(zhàn)勝所有的對(duì)手。這是一個(gè)事實(shí)。
敲詐木馬就是劉釗面對(duì)的“兇殘對(duì)手”。這類源自于國外的木馬一旦成功感染,就會(huì)鎖住用戶的設(shè)備或文件。然后會(huì)在設(shè)備上顯示敲詐信息。用戶在支付了“贖金”之后就會(huì)從黑客手里得到解鎖密碼。
敲詐木馬Jigsaw發(fā)作的界面
2015年流行的 Android 手機(jī)鎖屏敲詐木馬會(huì)采用誘騙的手段獲得用戶的授權(quán),然后在屏幕的頂端覆蓋一層蒙版,使得用戶所有的點(diǎn)擊行為全部失效。
然而,這類敲詐木馬并沒能擊敗他。經(jīng)過研究,他和團(tuán)隊(duì)發(fā)現(xiàn),只要連接電腦,就可以通過調(diào)試模式對(duì)手機(jī)發(fā)送指令,關(guān)掉頂層的蒙版,進(jìn)而殺掉這個(gè)木馬。如果手機(jī)沒有設(shè)置調(diào)試模式,也可以重啟進(jìn)入安全模式,抑制所有第三方程序的請(qǐng)求,從而干掉木馬。為此,哈勃系統(tǒng)還專門推出了查殺這類木馬的專殺工具。
Android 手機(jī)敲詐木馬
真正可怕的對(duì)手,是“電腦密鎖”類的敲詐木馬。這是于2015年初開始流行的敲詐木馬。它的可怕之處并不在于木馬本身的技術(shù),而在于其中一些采用了 RSA 加密算法對(duì)用戶的文件進(jìn)行加密。不要小看這個(gè) RSA 算法,大多數(shù)銀行都在采用這種加密算法保護(hù)用戶的數(shù)據(jù)安全。
一個(gè)足夠長度的 RSA 密鑰,如果采取暴力破解的方法,需要最好的計(jì)算機(jī)集群連續(xù)工作上千年。截至目前,世界上所有的黑客都沒有發(fā)現(xiàn)這個(gè)加密算法的弱點(diǎn)。換句話說,如果這種加密算法存在漏洞,那么我們所有人的銀行賬戶都會(huì)暴露在危險(xiǎn)之中。
敲詐木馬 CTB-Locker 的索要贖金界面
對(duì)于這類木馬,唯一的解決方案就是在它發(fā)作之前清除掉。如果不幸被襲擊,受害者除了乖乖按照黑客的指示通過地下暗網(wǎng)繳納比特幣贖金,似乎沒有更好的選擇。不過,劉釗告訴雷鋒網(wǎng)(搜索“雷鋒網(wǎng)”公眾號(hào)關(guān)注),在這波席卷全球的密鎖類木馬大潮中,中國大陸成為了唯一未被“玷污”的凈土。
目前還沒有檢測到大規(guī)模傳播的PC密鎖類敲詐木馬,一個(gè)重要的原因就是中國的用戶沒有辦法連接到暗網(wǎng),所以就算想支付贖金都沒有辦法。。。
面對(duì)這么“惡劣”的土壤,木馬作者似乎沒有任何動(dòng)力把敲詐木馬翻譯成簡體中文。這對(duì)劉釗來說也許是個(gè)尷尬的好消息。
“宅男”或“鐵漢”
很多人會(huì)覺得劉釗有一張標(biāo)準(zhǔn)的宅男臉。但在代碼世界里,他卻是一個(gè)站在在我們身前和木馬病毒死磕的“鐵漢”。
我們每日坐在鋼筋樓宇中,覺得安全無虞;殊不知網(wǎng)絡(luò)世界仍處蠻荒。這些信奉叢林法則的黑客一手炮制的木馬,想要掠奪的是我們每一個(gè)人的金錢財(cái)產(chǎn)、珍貴資料,以及對(duì)互聯(lián)網(wǎng)世界的信任。如果你了解了劉釗和木馬之間的戰(zhàn)爭。相信你也會(huì)得出這樣的結(jié)論:
這場戰(zhàn)爭并不是兒戲,容不得半點(diǎn)疏忽。
也許下一次騰訊電腦管家又彈出木馬警告的時(shí)候,你會(huì)想到,在這場無休止的戰(zhàn)爭中,劉釗和他的同事們又打了一次勝仗。
- 股票名稱 最新價(jià) 漲跌幅
- 祥龍電業(yè) 6.77 10.08%
- 安彩高科 10.18 10.05%
- 傲農(nóng)生物 19.98 10.02%
- 振華股份 15.92 10.02%
- 東軟集團(tuán) 15.94 10.01%
- 世運(yùn)電路 18.15 10.00%
- 天鵝股份 23.65 10.00%
- 七一二 43.81 9.99%
- 愛嬰室 31.60 9.99%
- 西部黃金 21.48 9.98%
- 外媒:滴滴考慮2017年在美國上市
- 千家第三方支付企業(yè)被指無照經(jīng)營
- 人人游戲私有化亂象:138名離職員工的期權(quán)去了哪
- 首例電競直播侵權(quán)案終審宣判:斗魚被判賠110萬元
- 人民日?qǐng)?bào)談小米平衡車傷人:標(biāo)準(zhǔn)缺乏產(chǎn)業(yè)野蠻生長
- 國際反假聯(lián)盟暫停阿里會(huì)員資格 加入一月即被除名
- 微信支付高層地震 騰訊金融戰(zhàn)略層面領(lǐng)跑者缺位
- 慘被拋棄:諾基亞功能機(jī)業(yè)務(wù)被微軟關(guān)閉
- 蘋果投資滴滴背后的秘密 原來10億美元要這么花
- 中概股私有化大潮背后:PE散戶化 VC產(chǎn)業(yè)化