反病毒時代已終結？

無意中看到英國的安全愛好者Graham Sutherland的一篇舊文《 The anti-virus age is over 》，盡管是一年前所寫，但仍舊可以以“呵呵”的态度一覽作者之AV觀：

就目前我的關注，我認為反病毒系統已然是強弩之末。或者，如果反病毒系統還沒有沒落，那也正走在即将終結的路上。

基于特征碼的分析技術，包括靜态分析（比如SHA1、哈希）和啟發式（比如模式比對）對于多态病毒都顯得毫無用處，如果你知道編寫病毒生成器是多麼的容易，就明白這是個大問題。當從具體的多态引擎中找到特定的模式時，壞家夥們早已編寫出了新的多态引擎。當你想到絕大多數浏覽器腳本語言都具有圖靈完備性，那麼很明顯，隻需要開發人員的小小努力，相同的惡意代碼行為便可以通過無限多種手段重寫。行為分析或許可以提供一種低成功率的檢測方式，但是至多也是一種弱标志。

在過去幾年中，我們也看到APT（Advanced Persistent Threat）模式中的攻擊潮。這些威脅有特定的目标或對象，而非随處拿軟柿子捏。APT模式下的攻擊涵蓋社會工程學、自編寫惡意軟體、自發掘漏洞利用工具及平台以及未披露的0-day漏洞——反病毒方案确是面臨相當棘手的威脅。

另外一個問題是記憶體駐留惡意軟體。對于AV（anti-virus）廠商來說監視程式記憶體非常難，更别說在系統中精确檢測記憶體問題。如果惡意軟體不觸及硬碟，大多數AV軟體将永遠也不會發現它。在趨勢科技進階研究員Robert > McArdle的報告“

HTML5-A Whole New Attack > Vector

”中，談及用HTML5編寫的駐留在浏覽器标簽頁中的僵屍程式和惡意軟體。假設浏覽器不在硬碟上建立緩存，那麼可以在不利用浏覽器漏洞的前提下感染記憶體駐留惡意程式，如此很容易迷惑使用者，并且具有網絡連接配接能力。另外一方面，浏覽器中的任意可執行代碼均可以作為杠杆加載可執行代碼到程序記憶體中。在浏覽器中或者在系統正常程序記憶體中駐留惡意代碼如此相當簡單。此外阻止記憶體頁面交換也是可能的，最終便可以阻止惡意代碼被交換到硬碟存儲中。這對于AV軟體和驗證分析來說簡直是夢魇一般！

如果說惡意軟體攻擊的技術方面大煞AV軟體的銳氣，那麼從經濟層面來說就是AV行業棺材闆的釘子。根據PayScale的資料，印度軟體開發者的平均年薪是320,000盧比，大約是5700美元。相比之下，惡意軟體分析師或系統安全分析師在扣除保險金、養老金以及其他支出型成本之前的年薪是60,000美元。這意味着，AV公司每雇傭一個分析師，壞家門便可以雇傭10個軟體開發者。對于同時開發3到4個惡意軟體來說也相當容易。如此便毫無争議——壞家夥們相比之下可以用相對少的成本雇傭更多人為他們工作，而且他們不需要顧及雇傭标準和職業操守。結果是壞家夥們可以比AV公司分析師們更快、更有效、更顯著地創造和更新惡意軟體。

不要誤會，AV行業在資訊安全世界中仍有一席之地——沒有它，系統管理者就不得不處理由腳本小子編寫的如洪水般的惡意代碼，但是，AV軟體已不是抵禦大多數基本攻擊的利器。

Graham所說并非毫無準備，上文是他研究了衆多AV引擎之後所寫。時至今日，盡管Graham對于上文中的内容略有改觀，比如印度軟體開發人員不再是那麼便宜，但其仍然認為：AV産業正面臨窘境！之是以這樣說，是因為：

• 對于平散列（flat hash）甚至CRC32的嚴重依賴來保持AV性能導緻修改一個位元組即可達到免殺效果。
• 在模糊哈希方面沒有真正的建樹。
• I/O通路優化的止步不前。
• 對作業系統的不良修改，比如非ASLR動态檔案被注入到程序。
• 反核心緩沖區溢出/堆噴射機制不再有效。
• 在檔案、程序、系統對象等等方面ACL的應用貧乏。
• 脆弱而又易被攻擊的元件。
• 對于敏感資料的低效加密方式，比如：512位的RSA加密。

• 松散的QA管理，比如曾經有篇文章名為《AV \ detescts itself as

  malware,screws everyone's boxes》。

• 相當、相當、相當糟糕的使用者界面。
• 在白名單機制和“known good”清單上沒有實際的創新。

Graham言下之意，是在新型安全威脅形勢下，AV廠商所面對的是新老問題共存，對AV抱有的是極其悲觀的态度。如果這僅是一家之言，不妨看看2007年高德納公司研究主管Anton Chuvakin的發現：

假設有人參與在一所美國著名的公共大學的受感染計算機上提取病毒樣本，并将這些樣本送出給

VirusTotal

，通過當時主流防毒軟體或類産品做檢測，猜猜檢測率有多高（比如一款病毒樣本被檢測、定義為惡意軟體）？

有以下答案供選擇：

• 100%
• 94%
• 90%
• 70%
• 50%
• 33%
• 22%
• 14%
• 2%
• 其他？

答案是33%，所有AV産品中最高檢測率為50%，最低檢測率僅有2%。令人印象深刻且難以置信的是，你花錢買來（免費下載下傳）的防毒軟體可能隻有2%的效果，對于大多數惡意軟體可能根本無能為力！

有一台Windows XP SP2系統的電腦，系統更新檔已更新至最新，并采取以下措施保護該系統：

1. 賽門鐵克企業版10.X反病毒軟體，并開啟所有保護措施，包括間諜程式/廣告程式檢測功能。
2. Windows Defentder 1.0版本，并設定每天更新且掃描，以及開啟所有保護功能。
3. ZoneAlarm 6.X免費版防火牆，并配置了良好的出站政策，以及禁止了所有入站連接配接。

此外，該系統删除了所有可能遭受攻擊和感染的Windows自帶協定（比如NetBIOS），停止了許多無關服務，配置IE浏覽器禁用注入ActiveX等風險項。

一天，這台電腦的使用者發現ZoneAlarm報警有一系列企圖對外連接配接的請求，出于某種警惕性，這名使用者點選ZoneAlarm彈出框上的“拒絕”按鈕，卻發現“拒絕”按鈕是灰色狀态，無法點選。随後這名IT人員Google了發起網絡連接配接的程式名：uvcx.exe，但仍不得不關閉了這台電腦，直到Anton博士介入調查此事……

是的，Anton正是上面那個問題的參與者，由此他推論：多年來有不少安全産品一直在糊弄大衆，“主流”AV産品已死！

筆者也有類似遭遇，多年前筆者電腦遭受某種木馬下載下傳者感染，本企圖借助防毒軟體清除病毒，卻在先後試用國産兩款反病毒産品後以查無病毒告終，不得已還是以手動清除解決。但筆者遠不如Graham和Anton博士那樣對AV産業悲觀，相反，在未來資訊安全發展中AV産業及企業需要做适應性轉型，且任重而道遠！

計算機病毒從上世紀80年代中期發展至今，經曆了惡作劇、報複心理、經濟驅使以及當下的政治因素誘導，制作技術愈加純熟，特别是在網際網路時代病毒制作技術已變地成本愈加低下。由此參與病毒編寫的人群不會減少，反而會越來越多，有需求便會有産業，這絕非是計算印度開發人員收入和反病毒工程師收入可以衡量趨勢的，好奇心、報複性、金錢誘惑、使命所為均會成為參與病毒編寫的驅使因素，想想參與黑産所獲得暴利吧！

多态病毒早在20多年前便已誕生，如今也早已不是什麼新鮮話題，隻是傳統的特征碼和啟發式技術對于此類病毒顯得捉襟見肘罷了！反病毒産品的功能主要有三部分：阻止、檢測、響應，而如今主動防禦也早已興起多年，沙盒技術也已逐漸在各大軟體廠商的産品（比如微軟Office 2012）中應用，通過加密/解密變形的多态病毒的防禦（虛拟機技術）也已不是問題。是以僅僅因為多态病毒的發展來否定AV的重要性是片面的。

AV産業真正面臨的困難，是病毒多平台、多管道、多技術的發展，比如移動裝置、藍牙傳輸、與木馬技術混合，看似四面楚歌之勢，也是對于AV廠商的重大考驗：既要應對多态、rookit等，亦要應對早已老掉牙的bat、vbs編寫的病毒（《

伊朗：重新回到.bat病毒時代

》），如此便有不同技術/平台優勢的AV廠商的出現以及不同AV引擎的結合，比如緻力于智能手機病毒的Lookout公司、結合小紅傘和BitDefentder殺毒引擎的360安全衛士。

在病毒數量不斷增長的趨勢下以及傳統特征碼存儲的尴尬境遇下，雲清除順勢而出，國内某安全公司的安全産品甚至采取“非白即黑”的清除政策。

而如今APT攻擊已然成常态，各類自編寫的特定惡意軟體則依然必須由AV廠商應對及披露，盡管在阻止方面似乎仍然無能為力，正如筆者在《

兵臨城下——資訊安全的新挑戰

》中所寫，震網、火焰病毒均是由AV廠商發現并公之于衆的。但僅僅如此還不夠，純粹的技術對抗在未來勢必難上加難，反病毒技術及常識的普及對于AV廠商、安全人員才是以柔克剛之策。以筆者所見聞，倘若普通群眾能夠在個人電腦、電子裝置操作上養成良好習慣（比如甚通路可疑網頁、注意軟體安裝所附帶插件/程式），并助以選擇合适且安全的軟體産品（比如甚用IE浏覽器）以及安全産品，足以大大減少個人遭受惡意軟體侵害的可能性，比如筆者家中父母所用電腦便因随意安裝各類軟體、插件而遭受木馬攻擊而不自知。

事實上，不僅AV産業，整個安全行業的趨勢中，人員的因素顯得愈加重要，所謂7分管理3分技術，安全更是如此：7分意識3分技術。是以，合作方能共赢是安全廠商發展之趨勢，安全意識培養方為個人資訊之保障！

補充說明

就在本文寫完後的第二天，筆者在網上看到，ESET公司（NOD32反病毒軟體和ESET智能安全産品所屬公司）市場和營銷專員Ignacio Sbampato對于AV行業所面臨挑戰的評論，他認為：在商業層面上的挑戰來自于基于雲計算的服務、社交網絡（AV産品無法觸及）以及免費經濟時代的軟體，此外還有智能手機應用發展所帶來的挑戰，這不同于傳統的反病毒領域，在使用者行為層面上的挑戰來自于盜版軟體使用，這不僅影響AV廠商，也影響AV的保護層面和程度，比如盜版的Windows系統安裝盤很可能被植入有病毒程式。