反挂马技术的演进与探索

《反挂马技术的演进与探索》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、反挂马技术的演进与探索江海客提纲•网页挂马问题的机理和原因•应对技术概述、业内现状•安天的一些工作•云支撑下的流量检测•试点数据分析•探云计划•走向三位一体数量与分布：2003vs2008数据来源：2003年7月7日CNET黑龙江主节点流量检测统计数据来源：20084月1日-7日ArrectNET全网监控体系统计从虫马交替到木马屠城全库种类表名称数量比例%木马82052085.25%蠕虫456124.74%病毒279532.90%间谍软件410594.27%其他11710.12%黑客工具118651.23%x_file118281.23%病毒工具24880.26%EICAR10.00%

2、总计962497100.00%7%3%4%windows病毒230411%脚本病毒3010宏病毒7869特络伊木马1055435%15%后门工具12486黑客工具2839病毒制造机18053%DOS病毒2456118%蠕虫病毒51704%原因浏览器是怎样工作的网马的基本工作过程下载执行反制衍生下载执行反制和衍生提纲•网页挂马问题的机理和原因•应对技术概述、业内现状•安天的一些工作•云支撑下的流量检测•试点数据分析•探云计划•走向三位一体当前主要的恶意地址发现技术目前相关领域的团队和成果卡巴斯基——传统的检测方式•无针对性•依赖于静态文件扫描–恶意程序–恶意脚本•防火墙–挂马网站黑名单–

3、钓鱼站点黑名单•主动防御–程序行为分析趋势——云安全•WEB信誉黑名•文件信誉单？•提供独立的安全DNS•WEB安全网关–云安全+特征扫描的杂合体•较低更新成本赛门铁克——扩展了的传统方式•防火墙–黑名单•特征检测•已知恶意站点衍生恶意站点瑞星——安全助手•站点黑名单–主动收集–用户举报•页面、脚本特征•IE创建进程检测360——安全卫士与安全浏览器•360安全卫士–IE创建进程检测–URL黑名单–站点黑名单•360安全浏览器–沙箱金山——两个方向•金山清理专家–程序行为监控–衍生物清理•金山网盾–黑名单–脚本特征检测谷歌——搜索引擎反挂马•谷歌安全浏览–MD5黑名单•谷歌搜索结果•火

4、狐浏览器•谷歌浏览器•其他第三方插件•优点：–开放，任何人可用–更新快，半小时一次“狩猎女神”——分布式蜜网系统•模拟具有漏洞的系统–WinXPSP2–IE6–常用软件•虚拟机保护外部系统•ProccessMon监控•API监控样本捕获•脚本解密预处理•多引擎对照扫描知道创宇——集中式蜜罐集群•云安全的另一种实现形式•集中数据中心•主动获取网站信息•蜜罐模拟用户行为提纲•网页挂马问题的机理和原因•应对技术概述、业内现状•安天的一些工作•云支撑下的流量检测•试点数据分析•探云计划•走向三位一体安天实验室的对应探索猎狐•2007年在奥运安全保障背景下提出。•用于奥运安全保障，曾发现奥运相关

5、站点挂马事件。猎狐原理模型ForestSpiderSensorSpiderHtmlParserScriptParserCSSParserAVEngineResultChainJudgeDetectResultAVLSDKTrojanGraph传统的脚本检测•传统的脚本检测是寻找指定字符串的过程。CLSID:5212851E-415F-66C7-B1EE-4E035F82A2B7•语法处理和压缩猎狐的挂马拓扑分析[wide]http://www.cliccing.com/(被挂马页面

6、)[script]http://z3***.net/c.js（恶意跳转链接）[iframe]http://z3***.net/0.htm（恶意跳转链接）[iframe]http://ee00r.22***.org/fkzd/16.htm（恶意跳转链接）[iframe]http://wm.245a***.cn/x150/xx.html（集成网马页面）[iframe]http://wm.245a***.cn/x150/td14.htm（MS06-014漏洞）[script]http://wm.245a***.cn/x150/14.js[script]http://wm.245a***.cn

7、/x150/15.js[script]http://wm.245a***.cn/x150/17.js[script]http://wm.245a***.cn/x150/16.js[script]http://wm.245a***.cn/x150/18.js[iframe]http://wm.245a***.cn/x150/yt.htm（MS09-032漏洞）[script]http://wm.245a***.cn/x150/a3.jpg[scr