[科普]Symantec安全技术解析——STAR Technology

wjhstu-VxG

本帖原贴于Symantec区，本着分享互助、谦和大气的卡饭宗旨，以及安软论道，卡饭防御的终极目标，转到此区和各位饭友分享 ~

时至今日，Symantec早已不是那个小小的安全软件公司，而已成为提供安全，备份，管理方案的全方位IT服务业巨头；但安全业务仍是诺顿一脉相承的核心主业之一，创新的全智能SONAR和Insight社区声誉技术，也让Symantec在现今的安全业界依旧领先。

Symantec也专门开设了一个页面来介绍其引以为豪的安全技术，可惜是英文，好在假期里空闲时间挺多的，于是打算根据原页面写一篇帖子，让大家对Norton的安全技术有更清晰的了解~

下面就有请本文的主角登场——STAR星级防护技术，源自Symantec

赛门铁克概览  

创建于 1982 年 4 月                                                        2011 财年收入：62 亿美元*（截止于 2011 年 4 月 1日）
1989 年 6 月 23 日首次公开发行股票 (NASDAQ: SYMC)     个人用户产品收入：1.9 亿美元
在财富 500 强企业名单中名列第 382 位                            企业产品收入：4.3 亿美元
在全球拥有 18,500 多名员工                                            按地域划分的收入：
总部：加利福尼亚州芒廷维尤                                           美洲：55%，欧洲、中东和非洲地区：29%，亚太地                                                                                                区和日本：16%

赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者，可以帮助个人用户和各种规模的企业保护和管理其信息，从更广泛的角度更全面、更有效地防御更多风险，令其他公司望尘莫及。 我们有自己独特的侧重点，即消除信息、技术和流程方面的风险，而无需考虑设备、平台、交互方式或位置。

随着威胁形势的不断演变以及客户转而采用并适应各种新技术，我们开始对移动、虚拟化和 SaaS 之类的未来发展领域进行投资，以帮助我们的客户降低成本和复杂性。赛门铁克充分利用内部研发、收购和合作伙伴关系，快速推进我们的长期战略。

wjhstu-VxG

概览

☜原文

在Symantec公司架构中，安全技术和响应部门(STAR)负责安全软件的技术研究和开发工作。STAR提供了赛门铁克安全产品的核心保护能力。所以就称这套技术为STAR星级防护技术。

主要包括五个方面：

文件防护（File-Based Protection），继续发挥重要的保护作用，包括静态签名和启发式。

网络防御（Network-Based Protection），可以检测已知和未知的软件漏洞，防止入侵（即诺顿著名的IPS/GEB）。

行为检测（Behavior-Based Protection），全智能地检测恶意活动，包括行为签名和自动沙箱（你对它的存在可能毫无感觉）。

声誉评级（Reputation-Based Protection），检查文件的元信息 - 存在时间，出处，传播方式，存在位置等等，并进行分级。

治愈系统（Remediation），帮助清理受感染的系统。：）
这个应该很多人知道，诺顿发现威胁之后，会在虚拟机/沙箱里跑修复流程，完整的清除感染痕迹（甚至一个注册表项），就不详细介绍了

下面是具体的介绍~~

wjhstu-VxG

文件防护（File-Based Protection）

包含组件：

·防病毒引擎（Antivirus Engine），赛门铁克独特的扫描引擎被广泛部署于超过3.5亿台计算机上。它是一个稳定，高性能的核心，提供先进的检测抵御最新的威胁。通过LiveUpdate无缝更新。

·自动防护（Auto Protect），赛门铁克的实时文件防护检测被写入或从文件系统的威胁。嵌入内核级别，是一种高性能，底层的扫描引擎，无需人为响应提供最新威胁的保护。

·启发式引擎（Malheur & Bloodhound两种），基于文件的启发式扫描技术，可以根据文件属性，检测常规（使用Malheur引擎，即MH.xx）以及利用exploit/漏洞（使用Bloodhound引擎）的未知恶意软件。

深度解析：

·广泛的文件支持（Broad File Support），检测压缩文件和嵌入其他文件的隐藏的恶意软件。支持的文件类型包括：
DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

·脱壳引擎（Unpacker Engine），检测加壳的的恶意软件伪装。脱壳引擎支持重复脱壳，能处理多达几百个加壳技术家族。

·通用虚拟机（Generic Virtual Machine），分离式引擎，检测脚本（detection scripts）和通用脱壳逻辑（un-packer logic）都由病毒定义更新，而不必更新程序。
-引擎底层代码（Byte code-based system）基于C#或Java，可靠性高并易于更新；
-适用于极为复杂的启发式和庞大的病毒变种家族检测，如 Trojan.Vundo；
-作用于所有非传统（.exe,.bat）的文件格式，例如PDF,DOC,XLS,WMA,JPG格式等；

·反多态引擎（Anti-Polymorphic Engine），包括先进的CPU仿真技术，检测隐形的多态恶意软件¹。

·反木马引擎（Anti-Trojan Engine），使用先进的散列技术(Hash)和高效的算法，在一微秒内扫描数以百万记的木马/间谍软件。

·光子引擎（Photon Engine）
-使用模糊（广谱）签名（fuzzy signatures），对新的未知的变种恶意软件家族（malware strains）提供出色的检出率；
-数以万计的模糊签名同时使用，扫描性能大幅提高；
PS：诺顿蛮喜欢取名字的……不过这也是时至今日诺顿的病毒库仍保持在8-9万，如此精简的秘密~

·高级启发式引擎（Advanced Heuristic Engines），使用本地/云端启发式签名及声誉数据，更好的检测服务端多态恶意软件家族¹（server-side polymorphed strains）。
-不断完善的恶意软件特征与启发式研究/签名库；
-可疑文件都与Symantec的声誉云/数字签名数据库关联；
-引擎根据情景调整灵敏度，比如启发式对新下载的文件比已安装的应用程序灵敏的多；（对此大家感触最深了……）

注1 关于多态恶意软件家族（server-side polymorphed strains）
好吧，这个名字是我自己取的，因为貌似找不到曾经可能有过的中文翻译，Symantec对其的定义如下：
"For quite some time, we have observed the technique of server-side polymorphism being used to infect Windows computers around the world. What this means is that every time a file is downloaded, a unique version of the file is created in order to evade traditional signature-based detection. "
简而言之，就是同一个恶意软件，入侵至不同的电脑时，产生的文件是不同的（File CRC），以此来逃避传统检测方式，有兴趣了解的同学可以点这里Security Response Blog

wjhstu-VxG

网络防御（Network-Based Protection）

网络防御的的目的莫过于将网络威胁拦在门外，而诺顿的防御方式很独特，不是将防病毒引擎拿去扫描流量，而是从病毒入侵的途径入手，创新的使用了更适合网络的NIPS作为防御组件，拦截入侵攻击，快速高效！

包含三个组件：

·网络入侵防御系统 (Network IPS)
-网络IPS感知和扫描超过200种不同的协议，提供无可比拟的高精度流量扫描，同时提供强大的保护；它能智能准确的分离二进制网络数据和网络协议，寻找恶意流量的迹象。
-它的核心是一个通用的Exploit拦截引擎¹（Generic Exploit Blocking (GEB)），提供了Exploit漏洞的攻击阻塞（病毒入侵的常用方式）。这是Symantec IPS的一个独特的功能!

·浏览器主动防御（Browser Protection）
这种保护引擎集成在浏览器内，可以检测到传统的防病毒和IPS无法检测到的最复杂的威胁。今天许多基于网络的攻击使用模糊处理（如多重加密），以逃避检测。
由于保护插件在浏览器内可以监控到恶意代码执行，因此能够检测和阻止绕过上一层防护的攻击，并导入一个保护堆栈中。

·未经授权的下载保护（UXP）
基于网络的保护层内，这最后一道防线，有助于保护未知和未修补的漏洞，不使用签名（IPS定义），拦截可疑系统API调用来避免恶意软件的下载，提供了一个针对零日攻击（Zero-Day）的防护层。

针对的问题:

·偷渡式下载（Drive-by Downloads），这个很好理解就是我们平常痛恨的网马和下载器（Downloader）等等。

·社会工程学攻击（Social Engineering Attacks），好吧，诺顿挺会故弄玄虚的，其实就是平常的假冒安全软件/解码器（FakeAntivirus/FakeCodec），通过要求用户购买等欺诈手段谋取利益；
Symantec说，我们的所有技术协同工作，以阻止他们的弹出显示，防止普通用户被骗，这是其他安全解决方案的弱点。

·保护受感染的系统（Infected Systems），我们的网络IPS解决方案，包括检测绕过其他保护层的威胁。
-IPS和防火墙可以检测和拦截没有捕获的恶意软件和僵尸网络的可疑行为（尝试扩散或传输盗窃的信息等等），减轻危害；
-帮助检测和防御传统技术难以发现的威胁，如Tidserv, Koobface以及Zbot（比如IPS检测到可能是某种病毒的流量/行为时，拦截并提交到云网络分析；又或者某些威胁传统扫描很难发现，但网络活动很容易被防火墙识别，可以更有效地剿杀之）；

·混合式攻击（Obfuscated Threat Protection），主要靠BrowserProtection。

·零日漏洞和未修补漏洞（Zero-Day and Unpatched Vulnerabilities），主要靠UXP，和通用GEB签名²。

·网络漏洞（Network Vulnerabilities），主要靠针对性IPS定义，通用GEB签名。

注1 关于GEB(通用Exploit拦截引擎)
Symantec的网络保护解决方案提供额外的保护层，称为了通用Exploit封锁技术。这项技术是通过逆向工程，破译漏洞的溢出方式，收集其在数据层上的特征，提供网络级的通用防护，而不用在意是否打了补丁或者未知漏洞；其好处就是一个单一的GEB或漏洞签名(包含在IPS定义中)可以防止数以千计的攻击代码变种~（用铁壳的话来说，未曾见过的出色……）

注2 除了在新的应用漏洞出现后，及时跟进针对性IPS签名，诺顿现在还在努力增强通用GEB签名，以期能够对新漏洞和变种攻击提供足够的前摄性防护，而减少对后知后觉的针对性IPS签名的依赖

wjhstu-VxG

行为检测SONAR（Behavior-Based Protection）

接下来，让我们来了解一下Symantec的另一个防护利器，全自动的智能主动防御SONAR。

包含组件：

·基于人工智能的识别引擎（Classification Engine Based in Artificial Intelligence）
-通过从参加诺顿社区防卫 （Norton Community Watch）计划的电脑中匿名收集正在运行的应用程序的属性，SONAR已建成世界上最大的程序行为数据库，基于近2亿的应用程序实例；
-通过监控近400个不同的行为属性，分类引擎很快就能够发现恶意行为，并在恶意软件对电脑造成损害前采取行动（无人干预）。

·行为签名（Behavioral Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对新兴威胁，并且误报率较低；通过Liveupdate无缝更新。

·行为拦截策略（Behavioral Policy Lockdown）
在某些情况下，恶意软件会深度嵌入在各种合法的应用程序或操作系统文件中。在这些情况下，删除它们是有很大风险的，所以SONAR能够制造一个虚拟沙箱（virtual sandbox），并将感染的合法的应用程序导入其中，消除其可能采取的损害用户计算机的恶意行为（貌似该过程是全自动且隐形的，我们无需也无法知道它的存在？……）。

wjhstu-VxG

声誉评级（Reputation-Based Protection ）

接着，让我们来瞧瞧由STAR研发的最新的安全技术——声誉评级（Reputation-Based Protection ），一个由超过1.3亿匿名用户组成的智慧云（Insight Network）。信誉系统基于用户匿名提交的信息，通过分析文件分布、传播方式等信息的统计学社会学方法，来学习分辨文件的黑白，对其分级，减少对传统检测方式的依赖。

它不只是关注不安全的文件，试图准确分类的所有软件的文件，包括好的和坏的。而这些判断则基于每天从自世界各地发送给Symantec的巨量匿名遥测信息。在这些几乎实时的信息中，Symantec会采集以下信息：

·在我们客户的机器上发现的应用程序（每个应用程序都由其唯一的SHA2哈希值标识）
·应用程序的来源，主要是互联网上的
·应用程序是否有数字签名
·应用程序在网络世界里出现的时间
·其他有关属性
—这些信息来自Symantec的全球情报网络（Global Intelligence Network），安全响应机构，或者由软件供应商直接向赛门铁克提供。

然后这些数据将被纳入一个大型的模型，一个程序信息和用户信息相关联的网络（application-user network）。然后，我们会分析这个网络，制定与不断修正一定的标准，来判段文件的声誉好坏，给文件分级。

作用：

·额外的防护，比如下载智能扫描(Download Insight)，对恶意文件提供极佳的检测率;
·减少误报；
·提高性能，通过跳过被信任的文件；
·提供额外的基于策略的保护（Policy-Based Lockdown），比如大型企业的IT管理员，可以禁止用户下载声誉不良或者少于100人使用的声誉未知文件，以大大降低感染率；

橡果公爵

我晕，如此好帖，没人回复啊？
支持楼主。本人正用着360 V6版本。

wjhstu-VxG

橡果公爵 发表于 2012-2-12 12:13
我晕，如此好帖，没人回复啊？
支持楼主。本人正用着360 V6版本。

感谢……公爵！

`_.Dぐ调

好贴，学到东西嘞

尘梦幽然

这地方太荒凉了…还是Symantec区热闹。