[科普]Symantec安全技术详解——STAR Technology

wjhstu-VxG

感谢wjcharles兄的提醒和内容，本次官方的更新对SONAR介绍进行了更好的补全，还揭示了Norton联动多层防御的秘密~蓝色标题和其下的详情是更新，欢迎进入Norton的技术后花园~

时至今日，Symantec早已不是那个小小的安全软件公司，而已成为提供安全，备份，管理方案的全方位IT服务业巨头；但安全业务仍是诺顿一脉相承的核心主业之一，创新的全智能SONAR和Insight社区声誉技术，也让Symantec在现今的安全业界依旧领先。

Symantec也专门开设了一个页面来介绍其引以为豪的安全技术，可惜是英文，好在假期里空闲时间挺多的，于是打算根据原页面写一篇帖子，让大家对Norton的安全技术有更清晰的了解~

下面就有请本文的主角登场——STAR星级防护技术，源自Symantec

赛门铁克概览  

创建于 1982 年 4 月                                                        2011 财年收入：62 亿美元*（截止于 2011 年 4 月 1日）
1989 年 6 月 23 日首次公开发行股票 (NASDAQ: SYMC)     个人用户产品收入：19 亿美元
在财富 500 强企业名单中名列第 382 位                            企业产品收入：43 亿美元
在全球拥有 18,500 多名员工
总部：加利福尼亚州芒廷维尤  
                                             
按地域划分的收入： 美洲：55%，欧洲、中东和非洲地区：29%，亚太地区和日本：16%

赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者，可以帮助个人用户和各种规模的企业保护和管理其信息，从更广泛的角度更全面、更有效地防御更多风险，令其他公司望尘莫及。 我们有自己独特的侧重点，即消除信息、技术和流程方面的风险，而无需考虑设备、平台、交互方式或位置。

随着威胁形势的不断演变以及客户转而采用并适应各种新技术，我们开始对移动、虚拟化和 SaaS 之类的未来发展领域进行投资，以帮助我们的客户降低成本和复杂性。赛门铁克充分利用内部研发、收购和合作伙伴关系，快速推进我们的长期战略。

wjhstu-VxG

概览


↑↑原文在哪里？点一下！

在Symantec公司架构中，安全技术和响应部门(STAR)¹负责安全软件的技术研究和开发工作。STAR提供了赛门铁克安全产品的核心保护能力。所以就称这套技术为STAR星级防护技术。

主要包括五个方面+STAR ICB协同人工智能：

文件防护（File-Based Protection），继续发挥重要的保护作用，包括静态签名和启发式。

网络防御（Network-Based Protection），可以检测已知和未知的软件漏洞，防止入侵（即诺顿著名的IPS/GEB）。

行为检测（Behavior-Based Protection），全智能地检测恶意活动，包括行为签名和自动沙箱（你对它的存在可能毫无感觉）。

声誉评级（Reputation-Based Protection），检查文件的元信息 - 存在时间，出处，传播方式，存在位置等等，并进行分级。

治愈系统（Remediation），帮助清理受感染的系统。：）
这个应该很多人知道，诺顿发现威胁之后，会在虚拟机/沙箱里跑修复流程，完整的清除感染痕迹（甚至一个注册表项），就不详细介绍了

STAR Intelligence Communication Bus（STAR人工智能通讯总线）
Symatec产品的技术并不单独工作。各个引擎与其他防护技术共享数据，通过STAR智能通信协议(Intelligence Communication Protocol，STAR ICB)交换数据。SONAR与IPS，防病毒和Insight™信誉引擎协同工作，提供其他厂商难以匹敌的安全防护~

上面这些技术协同工作，给用户提供了无可匹敌的多层高效防御！


注1，关于安全技术和响应部门(STAR)
Symantec安全技术和响应部门（包括安全响应中心），是一个世界性的由安全工程师，威胁分析和研究人员组成的团队，从技术上为赛门铁克的企业和个人安全产品提供支持，他们是symantec的幕后英雄。
Symantec的安全响应中心遍布世界，在互联网上至少有1.3亿台计算机向STAR反馈信息以帮助洞悉恶意代码，同时在超过200个国家里布置了24万个网络流量传感器，并监控近8000多家软件商的超过25000个漏洞。通过STAR团队提供的强大智力支持，Symantec开发和提供业界最全面的前瞻性防护技术。STAR部门有约550名员工。

下面是具体的介绍~~

wjhstu-VxG

文件防护（File-Based Protection）

包含组件：

·防病毒引擎（Antivirus Engine），赛门铁克独特的扫描引擎被广泛部署于超过3.5亿台计算机上。它是一个稳定，高性能的核心，提供先进的检测抵御最新的威胁。通过LiveUpdate无缝更新。

·自动防护（Auto Protect），赛门铁克的实时文件防护检测被写入或从文件系统的威胁。嵌入内核级别，是一种高性能，底层的扫描引擎，无需人为响应提供最新威胁的保护。

·启发式引擎（Malheur & Bloodhound两种），基于文件的启发式扫描技术，可以根据文件属性，检测常规（使用Malheur引擎，即MH.xx）以及利用exploit/漏洞（使用Bloodhound引擎）的未知恶意软件。

深度解析：

·广泛的文件支持（Broad File Support），检测压缩文件和嵌入其他文件的隐藏的恶意软件。支持的文件类型包括：
DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

·脱壳引擎（Unpacker Engine），检测加壳的的恶意软件伪装。脱壳引擎支持重复脱壳，能处理多达几百个加壳技术家族。

·通用虚拟机（Generic Virtual Machine），分离式引擎，检测脚本（detection scripts）和通用脱壳逻辑（un-packer logic）都由病毒定义更新，而不必更新程序。
-引擎底层代码（Byte code-based system）基于C#或Java，可靠性高并易于更新；
-适用于极为复杂的启发式和庞大的病毒变种家族检测，如 Trojan.Vundo；
-作用于所有非传统（.exe,.bat）的文件格式，例如PDF,DOC,XLS,WMA,JPG格式等；

·反多态引擎（Anti-Polymorphic Engine），包括先进的CPU仿真技术，检测隐形的多态恶意软件1。

·反木马引擎（Anti-Trojan Engine），使用先进的散列技术(Hash)和高效的算法，在一微秒内扫描数以百万记的木马/间谍软件。

·光子引擎（Photon Engine）
-使用模糊（广谱）签名（fuzzy signatures），对新的未知的变种恶意软件家族（malware strains）提供出色的检出率；
-数以万计的模糊签名同时使用，扫描性能大幅提高；
PS：诺顿蛮喜欢取名字的……

·高级启发式引擎（Advanced Heuristic Engines），使用本地/云端启发式签名及声誉数据，更好的检测服务端多态恶意软件家族1（server-side polymorphed strains）。
-不断完善的恶意软件特征与启发式研究/签名库；
-可疑文件都与Symantec的声誉云/数字签名数据库关联；
-引擎根据情景调整灵敏度，比如启发式对新下载的文件比已安装的应用程序灵敏的多；（对此大家感触最深了……）

注1 关于多态恶意软件家族（server-side polymorphed strains）
好吧，这个名字是我自己取的，因为貌似找不到曾经可能有过的中文翻译，Symantec对其的定义如下：
"For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. "
简而言之，就是同一个恶意软件，入侵至不同的电脑时，产生的文件是不同的（File CRC），以此来逃避传统检测方式，有兴趣了解的同学可以点这里Security Response Blog

wjhstu-VxG

网络防御（Network-Based Protection）

网络防御的的目的莫过于将网络威胁拦在门外，而诺顿的防御方式很独特，不是将防病毒引擎拿去扫描流量，而是从病毒入侵的途径入手，创新的使用了更适合网络的NIPS作为防御组件，拦截入侵攻击，快速高效！

包含三个组件：

·网络入侵防御系统 (Network IPS)
-网络IPS感知和扫描超过200种不同的协议，提供无可比拟的高精度流量扫描，同时提供强大的保护；它能智能准确的分离二进制网络数据和网络协议，寻找恶意流量的迹象。
-它的核心是一个通用的Exploit拦截引擎¹（Generic Exploit Blocking (GEB)），提供了Exploit漏洞的攻击阻塞（病毒入侵的常用方式）。这是Symantec IPS的一个独特的功能!

·浏览器主动防御（Browser Protection）
这种保护引擎集成在浏览器内，可以检测到传统的防病毒和IPS无法检测到的最复杂的威胁。今天许多基于网络的攻击使用模糊处理（如多重加密），以逃避检测。
由于保护插件在浏览器内可以监控到恶意代码执行，因此能够检测和阻止绕过上一层防护的攻击，并导入一个保护堆栈中。

·未经授权的下载保护（UXP）
基于网络的保护层内，这最后一道防线，有助于保护未知和未修补的漏洞，不使用签名（IPS定义），拦截可疑系统API调用来避免恶意软件的下载，提供了一个针对零日攻击（Zero-Day）的防护层。

针对的问题:

·偷渡式下载（Drive-by Downloads），这个很好理解就是我们平常痛恨的网马和下载器（Downloader）等等。

·社会工程学攻击（Social Engineering Attacks），好吧，诺顿挺会故弄玄虚的，其实就是平常的假冒安全软件/解码器（FakeAntivirus/FakeCodec），通过要求用户购买等欺诈手段谋取利益；
Symantec说，我们的所有技术协同工作，以阻止他们的弹出显示，防止普通用户被骗，这是其他安全解决方案的弱点。

·防护社交应用攻击（Attacks targeting Social Media Applications）
Symantec废话一堆……简言之，就是有的时候一个视频、一篇文章旁边有“分享到脸书”“GooglePlus +1”按键（国内类似“分享到qq空间，微博”之类的），你认为这是好东西的话可以点击分享。然而很多时候这个按钮并不真的是连接到脸书，而是直接链接到一个恶意链接（病毒广告），有的时候还会通过这个链接再次连接到脸书之类的，获取你的个人信息，朝你发广告等等，不同于以前的跨站脚本攻击；IPS最近增加了类似攻击手段的保护。

·保护受感染的系统（Infected Systems），我们的网络IPS解决方案，包括检测绕过其他保护层的威胁。
-IPS和防火墙可以检测和拦截没有捕获的恶意软件和僵尸网络的可疑行为（尝试扩散或传输盗窃的信息等等），减轻危害；
-帮助检测和防御传统技术难以发现的威胁，如Tidserv, Koobface以及Zbot（比如IPS检测到可能是某种病毒的流量/行为时，拦截并提交到云网络分析；又或者某些威胁传统扫描很难发现，但网络活动很容易被防火墙识别，可以更有效地剿杀之）；

·混合式攻击（Obfuscated Threat Protection），主要靠BrowserProtection。

·零日漏洞和未修补漏洞（Zero-Day and Unpatched Vulnerabilities），主要靠UXP，和通用GEB签名。

·网络漏洞（Network Vulnerabilities），主要靠针对性IPS定义，通用GEB签名。

·恶意IP/域名拦截（Malicious IP and Domain Blocking）
不解释了；通过LiveUpdate更新由STAR维护的列表，以防患于未然~

·改善Evasion resistance（检测逃避，类似免杀）
添加额外的加密解码支持以提高检测率，防御规避式攻击；这些恶意流量通过Base64、Gzip等方式加密

·基于策略和泄露数据识别的网络审计（Network Audit Detection for Policy Use Enforcement and Data Leakage Identification）
最新的企业版添加了这一功能，管理员能自定义策略，使用IPS过滤网络流量，警报或拦截那些p2p，聊天软件流量或者某些“有趣的信息”等等。PS：肯定木有天朝的防火*长城好……

注1 关于GEB(通用Exploit拦截引擎)
Symantec的网络保护解决方案提供额外的保护层，称为了通用Exploit封锁技术。这项技术是通过逆向工程，破译漏洞的溢出方式，收集其在数据层上的特征，提供网络级的通用防护，而不用在意是否打了补丁或者未知漏洞；其好处就是一个单一的GEB或漏洞签名(包含在IPS定义中)可以防止数以千计的攻击代码变种~（用铁壳的话来说，未曾见过的出色……）

注2 (个人见解)除了在新的应用漏洞出现后，及时跟进针对性IPS签名，诺顿现在还在努力增强通用GEB签名，以期能够对新漏洞和变种攻击提供足够的前摄性防护，而减少对后知后觉的针对性IPS签名的依赖

wjhstu-VxG

行为检测SONAR（Behavior-Based Protection）

接下来，让我们来了解一下Symantec的另一个防护利器，全自动的智能主动防御SONAR。

防御目标：
-有针对性的攻击，包括高级潜伏型威胁(Advanced Persistent Threats，APT)，木马，间谍软件，键盘记录程序以及常规恶意软件
-社会工程攻击——FakeAV，注册机…和FakeCodecs
-僵尸和僵尸网络(Bots and Botnets)
-无进程注入型威胁(Non-Process and Injected Threats，NPT)
-零日威胁(Zero-day)
-偷渡式下载(drive-by download)
-rootkit

包含组件：

·基于人工智能的识别引擎（Classification Engine Based in Artificial Intelligence）
-通过从参加诺顿社区防卫 （Norton Community Watch）计划的电脑中匿名收集正在运行的应用程序的属性，SONAR已建成世界上最大的程序行为数据库，基于近12亿的应用程序实例；
-实时监控近1400个不同的行为属性，分类引擎很快就能够发现恶意行为，并在恶意软件对电脑造成损害前采取行动，整个过程无人干预。

·行为签名（Behavioral Policy Enforcement (BPE¹ ) Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对传统手段难以检测的以及新兴的威胁，并且误报率较低；通过Liveupdate无缝更新。

·行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL² )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

·自动入沙（Automation Remediation with sandboxing）
-在某些情况下，恶意软件会深度嵌入在各种合法的应用程序或操作系统文件中；在这些情况下，删除它们是有很大风险的。于是SONAR会制造一个虚拟沙箱（virtual sandbox），将感染的合法的应用程序导入其中，消除其可能产生的恶意操作，而不影响使用（该过程是全自动且隐形的，由BPE签名控制）。
-同时，在清除某些威胁的时候，会自动将样本入沙，观察其相关操作，以较彻底的清除病毒痕迹，修复系统。

·STAR Intelligence Communication Bus（STAR人工智能通讯总线）
SONAR技术并不单独工作。行为引擎与其他防护技术共享数据，通过STAR智能通信协议(Intelligence Communication Protocol，STAR ICB)。SONAR与IPS，防病毒和Insight™信誉引擎协同工作，提供其他厂商难以匹敌的安全防护！

注1,2，请注意BPE和BPL两种策略的区别，一种是行为检测规则，另一种是行为遵从策略；

wjhstu-VxG

声誉评级（Reputation-Based Protection ）

接着，让我们来瞧瞧由STAR研发的最新的安全技术——声誉评级（Reputation-Based Protection ），一个由超过1.3亿匿名用户组成的智慧云（Insight Network）。信誉系统基于用户匿名提交的信息，通过分析文件分布、传播方式等信息的统计学社会学方法，来学习分辨文件的黑白，对其分级，减少对传统检测方式的依赖。

它不只是关注不安全的文件，试图准确分类的所有软件的文件，包括好的和坏的。而这些判断则基于每天从自世界各地发送给Symantec的巨量匿名遥测信息。在这些几乎实时的信息中，Symantec会采集以下信息：

·在我们客户的机器上发现的应用程序（每个应用程序都由其唯一的SHA2哈希值标识）
·应用程序的来源，主要是互联网上的
·应用程序是否有数字签名
·应用程序在网络世界里出现的时间
·其他有关属性
—这些信息来自Symantec的全球情报网络（Global Intelligence Network），安全响应机构，或者由软件供应商直接向赛门铁克提供。

然后这些数据将被纳入一个大型的模型，一个程序信息和用户信息相关联的网络（application-user network）。然后，我们会分析这个网络，制定与不断修正一定的标准，来判段文件的声誉好坏，给文件分级。

作用：

·额外的防护，比如下载智能扫描(Download Insight)，对恶意文件提供极佳的检测率;
·减少误报；
·提高性能，通过跳过被信任的文件；
·提供额外的基于策略的保护（Policy-Based Lockdown）
比如大型企业的IT管理员，可以禁止用户下载声誉不良或者少于100人使用的声誉未知文件，以大大降低感染率；

hui24681031

普及贴  好多都是没听过的 哈哈！

七彩俊园

首先支持楼主科普贴！
赛门铁克公司的东西很吸引人眼球，会让人想好好研究一下其中的奥秘。
赛门铁克在重视云、主动防护的同时，也应该重视启发式引擎，特别是Bloodhound启发，用诺顿在样本测试区中很少见到其影子，应该加大启发力度。

wjhstu-VxG

bbs0730 发表于 2012-2-3 20:49
首先支持楼主科普贴！
赛门铁克公司的东西很吸引人眼球，会让人想好好研究一下，其中的奥秘。

铁壳的东西技术含量还是可以的！

七彩俊园

wjhstu-VxG 发表于 2012-2-3 20:52
铁壳的东西技术含量还是可以的！

铁壳的东西技术含量真是没得说，就是希望控制好误报。