探秘Sophos反病毒实验室监测主流病毒全过程
来自:CNET
对细节超乎寻常的关注,暗示了这样一个安全公司对商业市场提供服务的能力,也就在这样的环境中,Sophos每个月发现1500-1600个新的恶意软件。Sophos的资深安全顾问Carole Thierault说,“在商业用户看来的好处在于,对拥有10,000名雇员的客户,我们只需要和负责IT的一个人交流而无须面对10,000名不同的雇员,这意味着我们的响应速度比我们的竞争对手要快。”
根据Sophos的说法,这也意味着可以根据其商业客户的指定要求转移更多的资源。“我们可以为单个用户定制AV软件。可以在OS2, Open VMS和其他更老的操作系统上使用我们的反病毒软件。客户仍然运行在这些系统上是因为他们最初的投资,”Sophos的资深技术顾问Graham Cluley说。
Sophos的主要团队似乎比其竞争者的规模要小,但是他们说员工人数少意味着灵活。首席病毒研究员Vanja Svajcer说,“这里有30名研究分析师,在世界各地还有20名”。
世界各地
英国反病毒和反垃圾邮件分析师进行倒班工作,并且可以向公司的其他部门和外部顾问外包分析。除了其自己的国际实验室和办公室之外,Sophos拥有一个包括分布在150个国家的合作网络,可以为其提供帮助。
Sophos诱捕病毒并且在Pentagon中的安全区域分析它们。不允许任何人携带任何可能感染主机或自身被感染的设备。无线可能很灵活,但是对Sophos来说不够安全,所以启用Wi-Fi的膝上电脑和蓝牙电话不得带入实验室。
Sophos使用一个“密罐”全球网络以诱惑可能对其客户产生威胁的最新病毒,特洛伊木马和蠕虫。本质上来说,密罐是连接到Internet而未受保护的PC,它们所有恶意程序最理想的主机。Svajcer说,“恶意软件可以进入密罐,但是由于有一个单独的硬件防火墙进行隔离,它无法再进一步传播”。
密罐
通常,密罐是没有运行XP sp2或任何反病毒软件的Windows主机。在12分钟内有50%被感染的可能性,在40分钟内有90%被感染的可能性。
为了能够解决大量的文件需要进行病毒检测(每天大概2000个)的问题,Sophos使用不同的自动技术从已知的干净文件和不被认为“易感染的”文件中(一些图像和数据格式以及被破坏的文件)过滤并隔离已知的被感染文件。
所有通过初始过滤阶段的文件被送到被称为Mentor的自动分析过滤系统。所有进入的文件也进入一个Sophos的手工系统,技术人员在这里使用不同的分析工具以查明恶意软件如何工作以及威胁程度。在该恶意软件被确认并且另一轮的测试和分析结束后,它才被发布,然后Sophos的产品进行更新以识别它。
直接报告
Sophos的许多产品,如PureMessage和MailMonitor,也从密罐系统中收集信息,并具有直接向公司返回报告的功能。如果客户打开这项功能,Sophos将以设定的间隔收到原始数据。然后这些数据通过一个阅读器并且组织成能够阅读和理解的形式。
Svajcer说,“因为我们在全世界拥有大量的客户和密罐,我们可以确定对不同用户的攻击是否是不同类型的威胁。这些信息对分析的过程非常有用,这也有助于我们向执法机构报告有用信息,特别是将分析信息和病毒代码内部发现的信息结合起来的时候”。
Rootkit
一些恶意软件比其他更具威胁。目前排在Sophos最危险名单前列的是rootkit的使用,僵尸的蔓延和一直挥之不去的垃圾邮件威胁。
rootkit是一些在系统中用来隐藏其他进程或文件的软件,所以rootkit和恶意代码没有出现在进程列表中。前不久Sony BMG唱片公司偷偷以数字版权管理机制(digital rights management)为媒介,将 Rootkit木马程序植入使用者计算机中引起了人们极大的愤怒,这也进一步强调了安全企业在不断增加的威胁出现时应该做什么。
如果计算机随着时间越来越慢,或者如果硬盘上的空间变得越来越小,公司可能怀疑某台机器被安装了rootkit。检测是否存在rootkit的一个方法是观察哪些端口被用来传输数据包,特别是如果打开的端口和一个特定的安全漏洞联系在一起。
该问题的另一个解决方案是安装软件工具以截获并显示进出PC的数据包的内容。通过监控这个数据流,可能能够确定是否有非法邮件被发送。
僵尸网络
数量不断增长的僵尸网络也是一个严重的问题,PC很容易被黑客劫持并且被用在发送垃圾邮件或拒绝服务攻击当中。用户经常被诱骗安装了将其PC控制权交给黑客的代码,这并非通过狡猾的软件而是通过所谓的“社会工程”来完成的。
Svajcer说,“我们看到过声称来自微软技术支持,包含同样的图形和字体的社会工程电子邮件,声称包含一个补丁。当这个文件被打开,它包含的.exe文件执行代码会以类似Mspg.32.exe这样的名称将自己复制到某个系统文件夹,由于许多合法的文件都有类似的名称,这给发现它们带来困难”。
恶意的可执行代码使得计算机被远程控制。控制这些僵尸的人通常建立一个只有他们知道的登录方式。这增加了僵尸的专用性并且保护它不被任何其他黑客劫持。
共享信息
由于在现实中流通着大量的恶意软件,多数安全公司制定了相互合作的策略。Sohpos和F-Secure,McAfee以及Symantec这样的公司相互共享最新安全威胁的信息。最新被识别出的病毒通过使用PGP加密,有时甚至通过CD发送进行交换。
客户也发送信息,如潜在的恶意代码,或有时是他们在病毒交换Web站点上发现的代码。一些恶意代码甚至直接是其作者发送而来。这样的例子是Phage,在2000年九月第一个被发送给Sophos和其他反病毒供应商的Palm特洛伊木马。该病毒未被扩散,因为其作者公布了代码,目的是使自己声名远扬。
病毒编写者
其他病毒编写者在编写过程中发送其作品,希望有关其病毒的警告会出现在反病毒供应商的站点上。未完成的恶意软件通常有错误,而编写者们希望安全公司的警告会有助于他们完成自己的软件。
和技术层面的恶意软件不同,应对垃圾邮件仍是Sophos重要的一项工作。公司垃圾邮件处理小组的11位成员专职分析并观察垃圾邮件趋向。自发的邮件和从与反病毒密罐工作原理类似的垃圾邮件陷阱中被提取出来的邮件,均被定义为垃圾邮件。
垃圾邮件研究分析师Paul Baccas说,“我们从密罐中收到的所有邮件都是不合法的。所有包含一个大附件的邮件将由反病毒人员进行分析,因为恶意软件时常以垃圾邮件的形式传播”。Sophos使用的密罐都是和ISP协商后重新指定的不合法IP地址。
阻拦垃圾邮件
反垃圾邮件软件自动过滤Sophos收到的95%的垃圾邮件。其余的5%被各种规则自动引导,这些规则考虑是否垃圾邮件来自于一个已知的垃圾邮件回复,是否它包含高百分比的HTML以及是否有可识别的文本字符串。
在自动过滤之后大约剩下0.05%的垃圾邮件。这时分析师插手进来以确定其特征并且希望得出一个阻拦它的方法。Sophos寻找的一个特征是段落印迹。每个垃圾邮件都具有一个特定的段落中断,垃圾邮件以此为特征并且使得Sophos能够识别它并编写一条规则阻拦它。规则不断更新,来逐步降低垃圾邮件的活跃性。
探秘Sophos反病毒实验室监测主流病毒全过程相关推荐
- Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析
本文讲的是Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析,据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病 ...
- 【原创】驳:三问瑞星:瑞星发现了在实验室中的病毒?
purpleendurer注:在新浪网看到下文: 三问瑞星:瑞星发现了在实验室中的病毒? (见:http://forum.tech.sina.com.cn/cgi-bin/viewone.cgi?gi ...
- 腾讯安全反病毒实验室解读“Wannacry”勒索软件
背景 针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析.此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播, ...
- 腾讯反病毒实验室:深度解析AppContainer工作机制
深度解析AppContainer Win8开始,Windows引入了新的进程隔离机制AppContainer,MetroAPP以及开启EPM的IE Tab进程都运行在AppContainer隔离环境, ...
- 国际舆情监测软件有哪些,手机舆情监测主流软件推荐?
国际舆情监测软件是指能够监测和分析国际公共信息的软件.这种软件可以收集来自新闻.博客.社交媒体.论坛等信息源的信息,并将其汇总到一个可视化的界面中,供用户查看和分析,接下来TOOM舆情监测小编带您了解 ...
- 病毒分析与防护实验2—— 搭建反病毒实验室
实验环境 VMware workstation pro Windows 2003 虚拟机 PS:作为一个用win10折腾了一天本实验的人,在这里和所有和我一样使用win10的铁头娃提个醒,尽量不要用w ...
- 迈克菲实验室:Flame病毒的深度分析
今年五月份发现的Flame病毒(又名Flamer.Skywiper或火焰病毒)对伊朗能源部门进行了猛烈的网络***,Flame病毒的出现引起了人们对于网络间谍活动和网络战争的高度关注.伊朗方面认为,F ...
- 腾讯移动安全实验室全年手机病毒行业报告
数量目前病毒主要在Symbian系统,以后主要在Android系统. 以下是2011年 腾讯移动实验室全年的手机病毒关键的几大类.以便日后借鉴.原文出自[比特网],原文链接:http://soft.c ...
- 极棒 CAAD 登陆 DEF CON:腾讯安全云鼎实验室上演防御病毒的高端操作
人工智能的飞速发展正在将世界带入一个全新的维度,但这同时也将网络世界的正邪对抗推入下一个战场. 美国当地时间8月10日,由 GeekPwn 主办的 CAAD Village 登陆世界顶级极客大会 D ...
最新文章
- ERP实施完了,为什么还要做MES?
- DynamicData for Asp.net Mvc留言本实例 中篇 新建.删除.数据验证
- 更新view是可以update到表的
- 开根号的笔算算法图解_机器学习KNN算法之手写数字识别
- redis安装,redis项目以来,redis和spring整合,redis的service,redis的service实现类
- python颜色形状识别_Python自定义颜色形状Fi
- LeetCode——排序
- GitLab 在多分支中的一个push
- 利用 CocoaPods 服务器中的一个 RCE 漏洞,投毒数百万款app
- 诺顿5月17日病毒库误报,导致系统文件被删除
- 优化无止境,爱奇艺中后台 Web 应用性能优化实践
- A053_项目部署_Linux介绍_CentOS
- wordcount程序中,输出文件夹中为空
- AI教程之:渐变效果
- 【桌面美化】这下可以肆无忌惮的看小姐姐了
- Auto病毒专杀工具常见问题
- 《芯片介绍系列》之MT7628芯片详细介绍(MT7628平台处理器)
- qt程序打开PDF格式文件
- 粉丝用开源游戏引擎重制超级马里奥 64
- 利用QEMU+GDB搭建Linux内核调试环境