反病毒時代已終結？

無心中看到英國的安全愛好者Graham Sutherland的一篇舊文《The anti-virus age is over》，儘管是一年前所寫，但仍舊能夠以「呵呵」的態度一覽做者之AV觀：

就目前個人關注，我認爲反病毒系統已然是強弩之末。或者，若是反病毒系統尚未沒落，那也正走在即將終結的路上。

基於特徵碼的分析技術，包括靜態分析（好比SHA一、哈希）和啓發式（好比模式匹配）對於多態病毒都顯得毫無用處，若是你知道編寫病毒生成器是多麼的容易，就明白這是個大問題。當從具體的多態引擎中找到特定的模式時，壞傢伙們早已編寫出了新的多態引擎。當你想到絕大多數瀏覽器腳本語言都具備圖靈完備性，那麼很明顯，只須要開發人員的小小努力，相同的惡意代碼行爲即可以經過無限多種手段重寫。行爲分析或許能夠提供一種低成功率的檢測方式，可是至多也是一種弱標誌。

在過去幾年中，咱們也看到APT（Advanced Persistent Threat）模式中的攻擊潮。這些威脅有特定的目標或對象，而非隨處拿軟柿子捏。APT模式下的攻擊涵蓋社會工程學、自編寫惡意軟件、自發掘漏洞利用工具及平臺以及未披露的0-day漏洞——反病毒方案確是面臨至關棘手的威脅。

另一個問題是內存駐留惡意軟件。對於AV（anti-virus）廠商來講監視程序內存很是難，更別說在系統中精確檢測內存問題。若是惡意軟件不觸及硬盤，大多數AV軟件將永遠也不會發現它。在趨勢科技高級研究員Robert > McArdle的報告「HTML5-A Whole New Attack > Vector」中，談及用HTML5編寫的駐留在瀏覽器標籤頁中的殭屍程序和惡意軟件。假設瀏覽器不在硬盤上創建緩存，那麼能夠在不利用瀏覽器漏洞的前提下感染內存駐留惡意程序，如此很容易迷惑用戶，而且具備網絡鏈接能力。另一方面，瀏覽器中的任意可執行代碼都可以做爲槓桿加載可執行代碼到進程內存中。在瀏覽器中或者在系統常規進程內存中駐留惡意代碼如此至關簡單。此外阻止內存頁面交換也是可能的，最終即可以阻止惡意代碼被交換到硬盤存儲中。這對於AV軟件和取證分析來講簡直是夢魘通常！

若是說惡意軟件攻擊的技術方面大煞AV軟件的銳氣，那麼從經濟層面來講就是AV行業棺材板的釘子。根據PayScale的數據，印度軟件開發者的平均年薪是320,000盧比，大約是5700美圓。相比之下，惡意軟件分析師或系統安全分析師在扣除保險金、養老金以及其餘支出型成本以前的年薪是60,000美圓。這意味着，AV公司每僱傭一個分析師，壞家門即可以僱傭10個軟件開發者。對於同時開發3到4個惡意軟件來講也至關容易。如此便毫無爭議——壞傢伙們相比之下能夠用相對少的成本僱傭更多人爲他們工做，並且他們不須要顧及僱傭標準和職業操守。結果是壞傢伙們能夠比AV公司分析師們更快、更有效、更顯著地創造和更新惡意軟件。

不要誤會，AV行業在信息安全世界中仍有一席之地——沒有它，系統管理員就不得不處理由腳本小子編寫的如洪水般的惡意代碼，可是，AV軟件已不是抵禦大多數基本攻擊的利器。

Graham所說並不是毫無準備，上文是他研究了衆多AV引擎以後所寫。時至今日，儘管Graham對於上文中的內容略有改觀，好比印度軟件開發人員再也不是那麼便宜，但其仍然認爲：AV產業正面臨窘境！之因此這樣說，是由於：

• 對於平散列（flat hash）甚至CRC32的嚴重依賴來保持AV性能致使修改一個字節便可達到免殺效果。
• 在模糊哈希方面沒有真正的建樹。
• I/O訪問優化的止步不前。
• 對操做系統的不良修改，好比非ASLR動態文件被注入到進程。
• 反內核緩衝區溢出/堆噴射機制再也不有效。
• 在文件、進程、系統對象等等方面ACL的應用貧乏。
• 脆弱而又易被攻擊的組件。
• 對於敏感數據的低效加密方式，好比：512位的RSA加密。
• 鬆散的QA管理，好比曾經有篇文章名爲《AV \ detescts itself as
  malware,screws everyone's boxes》。
• 至關、至關、至關糟糕的用戶界面。
• 在白名單機制和「known good」列表上沒有實際的創新。

​Graham言下之意，是在新型安全威脅形勢下，AV廠商所面對的是新老問題共存，對AV抱有的是極其悲觀的態度。若是這僅是一家之言，不妨看看2007年高德納公司研究主管Anton Chuvakin的發現：

假設有人蔘與在一所美國著名的公共大學的受感染計算機上提取病毒樣本，並將這些樣本提交給VirusTotal，經過當時主流殺毒軟件或類產品作檢測，猜猜檢測率有多高（好比一款病毒樣本被檢測、定義爲惡意軟件）？
有如下答案供選擇：

• 100%
• 94%
• 90%
• 70%
• 50%
• 33%
• 22%
• 14%
• 2%
• 其餘？

​答案是33%，全部AV產品中最高檢測率爲50%，最低檢測率僅有2%。使人印象深入且難以置信的是，你花錢買來（免費下載）的殺毒軟件可能只有2%的效果，對於大多數惡意軟件可能根本無能爲力！

有一臺Windows XP SP2系統的電腦，系統補丁已更新至最新，並採起如下措施保護該系統：

1. 賽門鐵克企業版10.X反病毒軟件，並開啓全部保護措施，包括間諜程序/廣告程序檢測功能。

2. Windows Defentder 1.0版本，並設置天天更新且掃描，以及開啓全部保護功能。

3. ZoneAlarm 6.X免費版防火牆，並配置了良好的出站策略，以及禁止了全部入站鏈接。

此外，該系統刪除了全部可能遭受攻擊和感染的Windows自帶協議（好比NetBIOS），中止了許多無關服務，配置IE瀏覽器禁用注入ActiveX等風險項。

一天，這臺電腦的用戶發現ZoneAlarm報警有一系列企圖對外鏈接的請求，出於某種警戒性，這名用戶點擊ZoneAlarm彈出框上的「拒絕」按鈕，卻發現「拒絕」按鈕是灰色狀態，沒法點擊。隨後這名IT人員Google了發起網絡鏈接的程序名：uvcx.exe，但仍不得不關閉了這臺電腦，直到Anton博士介入調查此事……

是的，Anton正是上面那個問題的參與者，由此他推論：多年來有很多安全產品一直在糊弄大衆，「主流」AV產品已死！

筆者也有相似遭遇，多年前筆者電腦遭受某種木馬下載者感染，本企圖藉助殺毒軟件清除病毒，卻在前後試用國產兩款反病毒產品後以查無病毒了結，不得已仍是以手動清除解決。但筆者遠不如Graham和Anton博士那樣對AV產業悲觀，相反，在將來信息安全發展中AV產業及企業須要作適應性轉型，且任重而道遠！

計算機病毒從上世紀80年代中期發展至今，經歷了惡做劇、報復心理、經濟驅使以及當下的政治因素誘導，製做技術越發純熟，特別是在互聯網時代病毒製做技術已變地成本越發低下。由此參與病毒編寫的人羣不會減小，反而會愈來愈多，有需求便會有產業，這絕非是計算印度開發人員收入和反病毒工程師收入能夠衡量趨勢的，好奇心、報復性、金錢誘惑、使命所爲均會成爲參與病毒編寫的驅使因素，想一想參與黑產所得到暴利吧！

多態病毒早在20多年前便已誕生，現在也早已不是什麼新鮮話題，只是傳統的特徵碼和啓發式技術對於此類病毒顯得捉襟見肘罷了！反病毒產品的功能主要有三部分：阻止、檢測、響應，而現在主動防護也早已興起多年，沙盒技術也已逐漸在各大軟件廠商的產品（好比微軟Office 2012）中應用，經過加密/解密變形的多態病毒的防護（虛擬機技術）也已不是問題。所以僅僅由於多態病毒的發展來否認AV的重要性是片面的。

AV產業真正面臨的困難，是病毒多平臺、多渠道、多技術的發展，好比移動設備、藍牙傳輸、與木馬技術混合，看似四面楚歌之勢，也是對於AV廠商的重大考驗：既要應對多態、rookit等，亦要應對早已老掉牙的bat、vbs編寫的病毒（《伊朗：從新回到.bat病毒時代》），如此便有不一樣技術/平臺優點的AV廠商的出現以及不一樣AV引擎的結合，好比致力於智能手機病毒的Lookout公司、結合小紅傘和BitDefentder殺毒引擎的360安全衛士。

在病毒數量不斷增加的趨勢下以及傳統特徵碼存儲的尷尬境遇下，雲查殺順勢而出，國內某安全公司的安全產品甚至採起「非白即黑」的查殺策略。

而現在APT攻擊已然成常態，各種自編寫的特定惡意軟件則依然必須由AV廠商應對及披露，儘管在阻止方面彷佛仍然無能爲力，正如筆者在《兵臨城下——信息安全的新挑戰》中所寫，震網、火焰病毒均是由AV廠商發現並公之於衆的。但僅僅如此還不夠，純粹的技術對抗在將來勢必難上加難，反病毒技術及常識的普及對於AV廠商、安全人員纔是以柔克剛之策。以筆者所見聞，假若普通民衆可以在我的電腦、電子設備操做上養成良好習慣（好比甚訪問可疑網頁、注意軟件安裝所附帶插件/程序），並助以選擇合適且安全的軟件產品（好比甚用IE瀏覽器）以及安全產品，足以大大減小我的遭受惡意軟件侵害的可能性，好比筆者家中父母所用電腦便因隨意安裝各種軟件、插件而遭受木馬攻擊而不自知。

事實上，不只AV產業，整個安全行業的趨勢中，人員的因素顯得越發重要，所謂7分管理3分技術，安全更是如此：7分意識3分技術。所以，合做方能雙贏是安全廠商發展之趨勢，安全意識培養方爲我的信息之保障！

補充說明

就在本文寫完後的次日，筆者在網上看到，ESET公司（NOD32反病毒軟件和ESET智能安全產品所屬公司）市場和營銷專員Ignacio Sbampato對於AV行業所面臨挑戰的評論，他認爲：在商業層面上的挑戰來自於基於雲計算的服務、社交網絡（AV產品沒法觸及）以及免費經濟時代的軟件，此外還有智能手機應用發展所帶來的挑戰，這不一樣於傳統的反病毒領域，在用戶行爲層面上的挑戰來自於盜版軟件使用，這不只影響AV廠商，也影響AV的保護層面和程度，好比盜版的Windows系統安裝盤極可能被植入有病毒程序。

via idf