角逐零病毒檢測

轉自：[url]http://blog.sina.com.cn/s/blog_59a0d4260100a5s4.html[/url]

"Race   to   zero"是一個病毒惡意代碼假裝的比賽，目的是公開和開放的測試世界主要反病毒軟件公司的病毒或惡意代碼檢測能力。今年的比賽於８月８－１０日在世界 著名***大會Defcon上進行。儘管比賽激起了反病毒軟件廠商的憤怒，但卻讓廣大的計算機用戶認識到有防病毒軟件並不就意味着安全，反病毒軟件廠商也需 要改進創新傳統的病毒檢測模式，提升對病毒惡意代碼威脅的抵禦能力。
本文也可視做深刻剖析「病毒及反病毒軟件」的入門普及讀物。

Robert Lemos, SecurityFocus 2008-08-09

拉斯×××　――　週五，三組安全專家同時在比賽利用一組知名病毒進行***，將惡意代碼轉換成主要防病毒軟件不能察覺的表面正常的代碼。

 

由新西蘭安全研究者 Simon Howard 運營的備受爭議的「 零 病毒檢測」競賽容許各個參賽隊假裝計算機病毒代碼和漏洞利用代碼樣本。從古老的石頭病毒開始，參賽者的任務是隱藏病毒代碼而且潛過一組專門的防病毒引擎，當一個病毒順利避開掃描後，就開始一組病毒中的下一個。

 

「比賽越日後，代碼樣本越難假裝，」組織者 Howard 說，「漏洞利用代碼更難於假裝，由於有特點的掃描軟件對於潛在的漏洞具備至關好的特徵識別庫。」

 

截至第一天，三個小組完成了全部九個代碼樣本――七個病毒和兩個漏洞。先完成第一個樣本的是來自 iDefence 公司的三個研究人員，花了五小時多一點兒完成比賽。然而，另外一個稍晚開始比賽的小組用了兩小時二十五分紅功的完成了全部九個病毒代碼樣本的假裝。另外一個也完成了比賽的小組拒絕了採訪。

 

Howard 說，參賽隊的完賽速度提醒當前的防病毒引擎存在問題。「基於特徵的檢測不起做用了，」（譯者：原文如此，我認爲意思是指對目前日益增多的病毒變種， 基於特徵的檢測技術已經落後了。 ）他說，「行爲識別技術是未來的方法，如今只有一些桌面防病毒軟件採用了這一技術，而沒有任何一種服務器防病毒軟件使用這一技術。」

 

對於防病毒業這並非什麼新的經驗，２００６年，研究人員就已經開始在他們的防病毒產品中採用行爲檢測技術來檢測針對少許目標進行***的***。去年特徵檢測技術的問題日漸突出，網絡***者愈來愈多的使用代碼假裝技術製造出大量的病毒變種，更加劇了防病毒分析工做。截止２００７年末，坊間檢測到的病毒變種已達５００，０００。

 

「 零 病毒檢測」競賽代表，在通過合適的數位裝扮後，即便是古老的病毒也能騙過最新的防病毒引擎。比賽用的第一個病毒是１９９８年的石頭病毒。隨後的 著名 惡意代碼造成了一個「名毒錄」： Netsky, Bagel, Sasser, Zlob, Welchia, and Virut （譯者：怎麼不用CIH ，尼姆達，熊貓燒香呢 :(! ）。最後是三個漏洞：一個是***Microsoft Word 的，一個是利用Microsoft's animated cursor vulnerability 漏洞的，最後是利用Microsoft's SQL 數據庫引擎漏洞的Slammer worm 蠕蟲。

 

起初比賽包括全部十個惡意代碼樣本，但因爲大多數參賽者缺少合適的Windows 2000 版本，Howard 排除了Microsoft Word 漏洞代碼。

 

比賽用的防病毒引擎鐵護手來自全部主要的安全軟件產品，引人注意的是不包括 SecurityFocus 的全部人賽門鐵克（Symantec ）。Howard 用防病毒引擎的命令行接口來爲編寫測試腳本，但Symantec 的產品只提供GUI 接口，他說他也沒有足夠的時間找到變通辦法。

 

修改真實的惡意代碼來繞開防病毒軟件沒能讓不少安全廠商高興。

「世界上的犯罪分子天天在編寫和擴散新的惡意軟件還不夠嗎？」防病毒公司 Sophos 四月在博客上說，「仍是嫌身份和信用欺詐的犯罪活動不夠流行？如今，僞善的編碼者將被質疑：假借推進更普遍和通用的檢測技術，把惡意代碼這個泥潭越攪越混。」

 

Howard 堅稱他觸到了防病毒公司的痛處。比賽採用的網絡是封閉的，沒有和互聯網鏈接，以免任何疏忽形成的代碼泄露。「他們懼怕代碼樣本流入坊間，」他說，「全部的樣本會連同製做小組的名字提交給防病毒產商，所以要是有泄露，產商就會知道是來自哪一個小組。」

 

參加比賽、製做假裝好的病毒、經過防病毒檢測並非很困難――若是你可使一個病毒經過全部的掃描器，你就可讓所有病毒都經過。完成了比賽，附屬於 VeriSign 的 iDefense 的研究小組說。

 

「那些壞蛋就是這樣作的，」 Matt Richard ，iDefense 的應急響應主管說，「只要獲得一個可用的混淆器（packer ），他們就用來幹壞事。」Richard 和他的兩個同事花了五小時多一點完成了比賽，他說比賽頗有價值，由於它教導研究人員要重視他們的敵人。「有時爲了摸清那些壞蛋會怎麼作你必須編寫一些東西，」Richard 說，「這些東西和咱們在比賽中用的幹同樣的事情，但只在研究室裏。」

 

對於比賽組織者Howard 來講，對公司和我的用戶的教訓遠多於防病毒業界。他但願對比賽的任何報道能夠向防病毒用戶傳遞這樣一個信息。「若是爸爸媽媽看了報道，進到他們的防病毒設置裏打開行爲特徵檢測，那麼舉辦這個比賽就徹底值得，」他說。