https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

企業防毒的最佳解藥病毒碼之探討

2005 / 02 / 02
文/梁玉容
企業防毒的最佳解藥病毒碼之探討

病毒解藥中心
雖然防毒技術不斷精進,但目前為止,防毒軟體大多只能針對已知的病毒做防禦;對於未知的病毒,仍無法預先防範。因此,防毒廠商更應加強的是在於如何減少病毒的擴散,以及在最短時間內產出病毒的解藥-病毒碼。 除了各自擁有專精的防毒技術外,防毒廠商也設置了有如「病毒解藥中心」的實驗室。例如趨勢科技在菲律賓所設置的病毒實驗中心TrendLabs、賽門鐵克分別在美國、日本、澳洲、愛爾蘭等地所設置的「賽門鐵克安全機制應變中心」;以及Sophos的病毒實驗室,分別設在英國、美國、澳洲三地;CA和NAI在全球各地也都設有應變中心。 CA eTrust TARGET(Threat Analysis and Response Global Emergency Team)威脅分析與全球緊急回應小組,是CA的病毒研究情報中心,目前設置在澳洲及以色列兩地。其任務是將全球各地所收集到的威脅、系統漏洞、弱點,以及病毒樣本等,做研究及分析;在第一時間內,將最新的研究資料結果,如最新的病毒資訊通報給所有的客戶。 NAI McAfee Security緊急事件回應小組 (AVERT) ,屬於Network Associates Inc.(NAI)的事業體之一,是NAI防毒研究中心,在16個國家都部署有研究人員。AVERT分別從各人和企業用戶端等處所收集的新病毒樣本做分析研判;另外並提供一個叫做AVERT WebImmune工具軟體,是NAI免費提供並置放於網站上的網路病毒安全掃描程式。此網站全天候運作,讓用戶可隨時提交可能中毒的檔案做分析。 Sophos 而總部在英國的Sophos,病毒實驗室主要的任務在處理來自全球各地客戶所送來的可疑檔案;同樣的和其他防毒廠商一樣,都是病毒名單組織Wildlist Organization的會員,透過其REVS(Rapid Exchange of Virus Samples)所提供的病毒樣本及相關資訊做分析及解毒。遇到快速蔓延的病毒,Sophos的做法是儘快取得樣本,以便在最短的時間內,將病毒資訊和偵測結果提供給客戶。 賽門鐵克 24小時全天候的賽門鐵克安全機制應變中心,針對電腦病毒感染的威脅,提供快速且整體性的回應。一旦有新的病毒出現,則透過自動化分析機制(SARA, Symantec AntiVirus Research Automation)做初步過濾,如果是已知的病毒或是變種病毒,即可自動產生病毒定義檔及解藥;如果是未知的病毒,則交給後端的研究人員進一步做分析並取得新病毒的定義檔,最後再交由測試員做測試。通常在兩個小時內完成新病毒的定義並快速回應給所有客戶。 趨勢 TrendLabs是趨勢做為全球病毒解毒中心與技術支援中心的重鎮,擁有近四百人的病毒實驗室,主要負責的任務從病毒研究、監控、發佈病毒通報、解毒,以及與客戶電話支援等項目。趨勢為了強化病毒回應速度,所訂定的標準程序是,一旦發現病毒,要求在45分鐘內就要推出第一版解藥。 病毒碼的產生 在取得新病毒的樣本後,通常會先進行各項比較及分析。其實電腦病毒是由程式所組合而成的,大部份的病毒,除文件巨集型病毒(Macro Virus)外,都是由複雜的程式所組成。因此病毒的解藥來源是針對各個不同格式的檔案及病毒感染方式做分析,然後從中取得足以做為辨識新病毒的解藥內容。 由於病毒日趨複雜及多變,要從每一隻病毒找出不同的特徵及行為模式,不再是那麼容易,有時候甚至還會將病毒誤判為是正常檔案。所以通常防毒廠商在將所謂的病毒解藥送給客戶前,都必須經過嚴格的測試。 例如Sophos的做法,據Sophos亞洲區總裁Charles Cousins表示,首先在第一階段會處理由全球各地客戶所送來的可疑病毒檔案,根據其來源及主要攻擊的對象,然後再利用反向工程技術(reverse engineering)來分析,找出病毒碼(IDE),在經過品質管控檢查(QC check),確定此病毒碼不會影響其他軟體操作或系統運作,最後再release 給客戶。接著第二階段,預測此病毒有沒有可能的變種,再提供另一層保護給客戶。 賽門鐵克利用其自動化分析機制(SARA),接收客戶經由 Norton AntiVirus 提交的可能病毒樣本,然後在安全的系統上複製病毒。接著,自動化功能只需要幾分鐘的時間,就可以將病毒獨具的特性抽取出來、發展出一套賽門鐵克的偵測及修復方法,接著就會測試新發展出來的方法。一旦病毒經過分析之後,就會自動新增到賽門鐵克的Norton AntiVirus 病毒定義更新資料中。然後,以電子郵件將這些更新資料自動寄給客戶,以便修復中毒的檔案,同時也會公佈給所有的賽門鐵克客戶,以便在日後加以防護。 Symantec的自動化分析機制,其運作步驟大致如下圖的模式。 當有一未知的病毒感染電腦時,SAV(Symantec AntiVirus) 的數位免疫系統會將病毒樣本送至管理者主機(中央隔離所)。為了避免機密資料外洩,管理者主機會先移除病毒樣本上的個人資料,再以加密的方式送至賽門鐵克的病毒分析主機。接著,病毒分析主機會將病毒標本複製到一虛擬系統(病毒培養皿)中,分析病毒的行為與結構;然後萃取出病毒的特徵,產生出病毒定義檔 (通常在 5 分鐘以內) 。 接下來,病毒分析主機將病毒定義檔送回網路管理者主機,再將病毒定義檔傳送給受感染的電腦;接著,病毒定義檔會被傳送給同一區域內的其它電腦。最後,全球其他用戶可透過 Symantec 的自動化病毒更新機制,獲得新的病毒定義檔。 趨勢的做法則不同,因為在病毒樣本的取得上主要是來自客戶端,因此在送交TrendLab之前,會先做初步的資料判斷整理,如同醫生在初診時做各項檢查。而這些檢查包括像是:是否有透過大量郵件在傳送?是否藉由網路芳鄰做感染?會不會以後門程式竊取資料?是否以系統漏洞做攻擊?…以上這些檢查資料幫助在TrendLab分析時可以很快的做出對病毒類型的判定。 而這些由第一線工程師所提供的初步分析資料,會先透過客製化的程式觀察(Monitor)確認是否如資料所言,並進一步在實驗室執行這個病毒,驗證資料的正確性與否,同時也觀察是否還有其他的特徵。最後在病毒碼Release之前,還會要求做所設定的自動化測試,只要將病毒放入,並啟動自動化流程後,便會在實驗室的每一台電腦上各自做測試,最後產生測試結果的報表。快速且自動化機制的測試,不僅可以減少人力測試的時間,同時誤判的機率也變小。 經過這些手續後,所得的結果分析報告,均放置於趨勢科技網站上的「病毒百科」,客戶可自行上網查詢各類病毒的特性以及如何解毒的清除步驟等資訊。

提供解藥,分秒必爭
網際網路帶來了便利,相對的也帶來網路安全上的威脅。由於病毒爆發的速度之快,往往在極短的時間內就可能造成數以萬計的電腦或是網路癱瘓。因此防毒技術所應提升之處,在於如何在病毒爆發後以最快速度release解藥,以減少企業的損失。 以下是一個實例,藉由一群終日與電腦病毒為伍的「病毒醫生」,看看他們是如何以分秒必爭的態度來對抗電腦病毒以及他們實戰經驗的分享。 紅色警戒小組追捕Nimda實錄 緣由: 凌晨2:10取得Nimda病毒樣本,2:30發佈紅色警戒,全球病毒即時監測,即時遏止Nimda病毒入侵企業。紅色警戒小組隨時處於待命狀態,一旦有緊急病毒事件,必須立即處理,於最短時間內提供解藥給客戶。2001年9月19日凌晨許多人仍在睡夢中,Nimda病毒卻以迅雷不及掩耳的速度在中國、台灣、日本、英國、義大利等地陸續傳出災情。 過程: ※凌晨2:00,病毒解毒中心暨技術支援中心,接獲第一隻Nimda病毒求救案例。 ※凌晨2:10,透過全球病毒監測中心,確認該病毒有氾濫成災的趨勢,宣佈進入紅色警戒狀態。 ※凌晨2:30,全球各地的防毒安全專家,無論位於哪一個時區、不管白天黑夜、上班或下班時間,同時收到紅色警戒動員令。當隨時待命的呼叫器響起,任職於台北辦公室的紅色警戒小組成員,立即趕往辦公室,與位於北京、南京、慕尼黑、巴黎、東京、台北和美國加州Irvine及矽谷服務中心同步分析病毒樣本。 ※凌晨2:35,紅色警戒小組成員與他的技術支援團隊透過手機簡訊及E-mail通知客戶與經銷商,告知這隻病毒的最新消息及解毒處方。 ※凌晨2:50,Nimda病例表出爐,裡頭詳盡分析該病毒的特性、風險指數、解毒方式等詳盡的病毒分析。 ※凌晨2:51,將完整的病毒分析報告送給分公司。 ※凌晨3:20,最新的病毒碼(解藥)出爐。 ※凌晨3:30,再度透過E-mail針對客戶,發佈最新的病毒訊息及解毒處方。 ※早上9:00~12:00,上班時間開始以電話方式逐一通知客戶。 ※中午12:00~下午6:00,網路運作情形。PSP(Premium Service Support)小組成員,隨時針對專屬客戶狀況提供技術支援。 ※下午6:00,紅色警戒解除前,小組成員與病毒中心的工程師仍以接力的方式持續監控,同時針對可能的變種病毒研發最新的解毒處方。(資料來源:趨勢科技) 以上就是針對列入紅色警戒的Nimda病毒所採取的處理步驟,藉著全員待命、緊急警告、研擬對策、連線監控等幾個步驟,提供客戶最快速的防毒服務。

有關Wildlist Organization
Wildlist Organization是全球主要防毒知訊的提供者,可讓防毒業者的所有會員快速且安全的分享「緊急的」病毒樣本。其主要的任務,是提供正確且即時性有關全球電腦病毒知訊給防毒產品開發商及使用者。 Wildlist Organization所提供的「在外散播(In the wild)」病毒清單,其資料庫的病毒,為目前世界各地廣為流傳的病毒名單,內容也是最新、最完整的。資料庫內的清單是由防毒研究者Joe Wells維護並更新。Wells除了定期更新這個清單外,並和世界各地的防毒研究團體密切合作,其中包括大家熟悉的NAI、Sophos及趨勢科技等病毒廠商。 國際電腦安全協會(International Computer Security Association, ICSA)每年會針對病毒的感染狀況做病毒感染率調查報告。當ICSA指導做防毒產品的病毒測試時,會使用「In the wild」清單當作比較分析的依據。據了解,ICSA近年來的驗證標準門檻設定更為嚴荷,要求必須達到100%偵測到「In the wild」的病毒清單標準。

病毒的命名
通常病毒的名稱是由第一個定義病毒的防毒廠商命名的,安全廠商會分享相關資訊給其他的廠商並鼓勵使用相同的名字。病毒的命名,曾經使用過飲料的名稱(code red)和神話中的野獸(bugbear);一般比較不傾向使用人名或公司名稱,而Kournikova病毒則是例外。 近來變種病毒頻傳,像是Netsky、Beagle、MyDoom等,已造成不少用戶中毒。如果是已經發生過的病毒,就延續其原來的病毒名字,變種病毒則用英文字母順序來表示,例如,Mydoom.b是Mydoom的變種病毒。如果是排到Z還有病毒出現,則病毒命名就必須從AA、AB、AC等以此類推排下去。 最近的病毒以Netsky變化最神速也最驚人,自今年2月出現後,短短兩個月時間已出現第25隻變種病毒,最新變種病毒已經排到Worm_Netsky.Y;而Beagle在今年1月20日發現後,也有到V的22隻變種病毒產生。目前產生最多變種病毒的是Yaha病毒,截至2003年11月為止,已有34隻變種病毒產生(Worm_Yaha.AF)。