走近卡巴斯基（一）Anti-Phishing/Anti-Rootkit/Anti-Blocker/HIPS

白露为霜

走近卡巴斯基（一）

                                    

2L	卡巴斯基Anti-Phishing技术
3L	卡巴斯基Anti-Rootkit技术
4L	卡巴斯基Anti-Blocker技术
5L	卡巴斯基HIPS

                                                                                                

  转载请注明来自bbs.kafan.cn
By root1605

前言：本贴译自卡巴斯基白皮书，对于想初步了解下卡巴的童鞋可能有点用吧（或者说聊胜于无），同时也为了活跃下版区气氛。
卡巴斯基关于各个功能的白皮书比较多
所以工作量较大（http://www.kaspersky.com/about/press/whitepapers），不可能一下子全部完成，只能分批次且选择重要的来了，如果以后能够全部完成，我还是希望能出个汇总帖的。。。这次先试一下---先介绍卡巴斯基的Anti-Phishing技术，Anti-Rootkit技术，Anti-Blocker技术，HIPS吧。

白露为霜

卡巴斯基Anti-Phishing技术

       一个人的身份信息对个人很重要，对于其他别有用心的人也有价值。某些网络犯罪分子努力寻找个人信息来转卖给其他犯罪分子，或者自己利用这些信息。通常是这样使用这些个人信息的：从银行账户里盗取资金，向在社交朋友列表里的用户发送恶意软件。窃取个人信息最广泛的一种方法是钓鱼。
      大多数的钓鱼网站是创建一个仿冒的网站。这个仿冒的网站域名与真实的很相似，诱使用户在假冒页面上输入自己的一些重要信息。
      为了诱导用户访问假冒的网站，犯罪分子很清楚用户的心理。通常它们会以“解开XX的谜底”“惊现XX”“您中了大量奖金请兑奖”“您已违法，已经被罚款”等为标题。这些网站链接通常包含在垃圾电子邮件，即时通讯工具的聊天室里。
      这些制作钓鱼网站的欺诈者为了掩盖钓鱼网站花样百出。一些“高手”将钓鱼网站做的和原网站一样而无法分辨。除了一些惯常的手段，如URL重定向，使用与原网址内容有关的短域名，或者将IP地址当作域名（要想隐藏服务器的名称，最简单的办法就是用IP地址代替原有域名，但以IP地址为名称不代表一定是钓鱼网站），他们甚至利用脚本在URL栏上显示正常的域名（人脑反钓鱼一定有效吗 ），有些高级的钓鱼网站还显示SSL加密和HTTPS连接的图标。
      根据KSN(卡巴斯基安全网络）的统计，在2015年前6个月，在用户计算机上的卡巴反钓鱼系统总共启动了80多万次。
     
图1：2015年上半年钓鱼攻击的目标


     
卡巴斯基的反钓鱼组件如何工作的？
      卡巴的反钓鱼保护组件提供了有效的保护，对钓鱼技术结合以下三种方法来应对：
      •通过本地的钓鱼数据库匹配信息并拦截。
      •使用KSN（卡巴斯基安全网络）的数据识别并拦截钓鱼网站。
      •启发式检测，即使钓鱼网站不在数据库里。



图2：用不同方式检测到钓鱼网站
      

数据库检测
      卡巴斯基实验室在维护一个巨大的，不断更新的钓鱼站点数据库，它包含了各种钓鱼网站的信息，有的信息来自合作伙伴。这些在服务器的数据信息会定期发送到用户的设备上，云数据库也可以提供不间断的实时保护，云保存了这些站点最精准最详细的信息。当在一台计算机上检测到钓鱼网站的时候，关于此钓鱼网站的信息会在15~30秒反馈给云端，所有使用云服务的计算机都可以检测到这个钓鱼。另外，卡巴斯基保存了一个完整的SSL证书对应的域名的清单，一旦不符会发出警告。

      然而，如果网络犯罪分子刚刚才发布他们的钓鱼网站，只有极少数人看到了这个网站，可能数据库里并没有相关信息，在此时启发技术就显得尤为重要。
      下面的图片清晰地反映了检测钓鱼网站流程。

图3：检测钓鱼网站流程图

启发检测
      对用户来说，启发式模块是防御钓鱼攻击的最后一道防线，这个模块运作高度有效，即使网页不在数据库里，这个模块也有判断是否是钓鱼的能力，卡巴斯基的数据显示50%的钓鱼网站是该模块拦截的。
      这个模块不仅仅是查找页面是否有钓鱼网站通有的特征（当然发现有些特征符合钓鱼网站肯定会报告），现在的高手们的钓鱼网站可能不留一点假冒的痕迹，然而一些间接地异常仔细判断应该还是有的。
     举例来讲，使用资源统一定位符（URL）是国际通用的合法的方法，但是这种方法可以用来向合法的网站中插入钓鱼内容。另一个例子是XSS（指跨站脚本攻击），或使用外部脚本代码攻击。出现这种攻击有一部分原因是程序员的懒惰和大意（这还经常出现在金融系统中或其他重要组织的程序员中）。
     启发模块会检查网站是否有仿冒的特征，再将它们和域名，使用的网站框架，加密方式等综合考量，根据一些间接的证据判断是否为钓鱼网站。这个启发模块甚至可以检查网站上的图片，看图片里是否有钓鱼内容（这也是为了防备将诈骗信息放在图片中企图混过过滤检查的犯罪分子）
     仅靠单一的证据不能判断钓鱼网站，不然会导致大量的误报，为了准确我们需要较多的证据来判断。启发模块是否报警取决于对于这些仿冒特征的组合判断。
     启发模块是一个智能化的系统，通过深入了解了钓鱼者的手段，以及使用巴斯基巨大的钓鱼数据库来检测钓鱼网站。如果启发模块分析一个网站可能是钓鱼网站，不十分确定，会即刻提交给卡巴斯基实验室的大型分析设备，这个设备有更多的资源和强大的分析能力。这种措施减轻了本地用户计算机的运算负荷，还能在几秒之内给出精确结果。一旦一个用户的卡巴斯基产品通过启发式识别了钓鱼网站，会立刻送至卡巴斯基实验室，当其他用户访问的时候会自动封锁（这也降低了单台计算机的分析负荷）。
     
URL信誉服务
     基于反钓鱼数据库的检测也在加强功能。卡巴斯基URL信誉顾问利用数据库，当用户使用搜索引擎时，URL信誉顾问会检测发现的链接，如果站点可信会被标记为绿色，如果不可信（钓鱼或恶意软件）会被标记为红色。     

图4：被卡巴斯基标记为红色的恶意网站
     这项技术对于反钓鱼十分必要，他们使用Search Engine Optimization（搜索引擎优化），当用户搜索关键词时钓鱼网站在顶部的位置。他们也在社交网站上利用泄露的账号发布钓鱼网站。
     信誉顾问只在Windows和Mac OS平台上工作。



卡巴斯基反钓鱼技术的优势：
     •多重检测：在一个网站被确认安全之前，接受三遍不同的检查。
     •最快的响应时间：卡巴斯基反钓鱼技术能防御极新的钓鱼攻击。
     •主动预防性保护：卡巴斯基反钓鱼启发模块识别未在数据库里的钓鱼网站。
     •预警系统：卡巴斯基URL信誉顾问在浏览器中识别威胁链接，不必等到打开网站。



采用Anti-Phishing技术的产品：
     家庭用户：KFA/KAV/KIS/KTS/卡巴斯基安卓安全软件/卡巴斯基WP及iOS安全浏览
     企业用户：KES/Linux 邮件服务器安全/KSOS

白露为霜

卡巴斯基Anti-Rootkit技术

       反病毒厂商和恶意程序之间就像在进行永无休止的“军备竞赛”，当新型威胁出现时，反病毒厂商研究新技术来防御它们，同时网络犯罪分子会绞劲脑汁地绕过反病毒厂商的检测。设备是否安全，取决于对峙双方哪一边技术更复杂。
       一种高度复杂的威胁类型是Rootkit，比如TDSS，PMax，Zbot这些类型的恶意程序使用了Rootkit技术，这些恶意程序经常能够在设备受到安全软件保护时感染设备，不易察觉。

图1：2013年4月TDSS的地理分布，数据基于KSN（卡巴斯基安全网络）。

图2：TDSS

Rootkit的细节
       使用了Rootkit技术后，网络犯罪分子可以在用户不知情的情况下大量执行非法操作，比如窃取用户的支付信息，个人数据，干扰软件的正常工作，对抗安全软件，篡改用户文件或者删除它们。换句话说，Rootkit技术允许网络犯罪分子有对所有进程的完全控制权。
       为了隐藏自己在操作系统中的存在，Rootkit利用各种工具，它们会拦截系统服务，锁住文件，修改文件的访问权限，向受信任的进程中注入恶意代码，当然不止这些。
       一些Rootkit修改MBR（这种类型的Rootkit也可称作Bootkit），这样在系统启动前自身就被加载了，这时安全软件还没有被加载，Rootkit很容易地取得了对系统的完全控制权。
       正因为这些技术被使用来隐藏恶意软件，一个安全软件必须有以下手段来保证设备安全：
•安全软件须有Rootkit防护模块，揪出隐藏在系统中的Rootkit，并阻止它们的恶意操作。
•在检测到Rootkit之后，安全软件须有能力完全移除Rootkit在系统中的所有模块，恢复被恶意篡改过的功能。
•安全软件须有强大的自保模块来对抗Rootkit的攻击，很多Rootkit有能力停止一些安全软件的防护。


卡巴斯基对抗Rootkit的方法
       Rootkit利用多种技术和安全软件“躲猫猫”，开机时，Rootkit经常在安全软件未启动保护之前就将自己加载。为了对抗这些“Bootkit”，卡巴斯基监视了引导分区的调用。卡巴斯基拥有启发式技术，通过分析程序的行为，甚至能够检测未知的在系统中的Bootkit，然后有效的回滚所有的恶意操作，底层文件分析系统也能够执行对硬盘的扫描。基于对磁盘底层访问权限，卡巴斯基可以用特征码匹配的方法来确定已经藏身在系统中的Rootkit。
       修复已经感染Rootkit的设备是一个很大的挑战，需要特殊的工具。大多数Rootkit有完备的自我保护手段，它们深入内核使得检测和清除修复十分困难。
       卡巴斯基反Rootkit模块提供了一个原始的机制，绕开Rootkit在操作系统中的更改（指对检测Rootkit有阻碍的更改），同时对Rootkit进程实行多级控制。这样一来，可以有效的移除Rootkit的组件。换句话说，如果Rootkit更改了OS code造成检测的障碍，卡巴斯基知道怎样绕过这些障碍，之后再清除Rootkit。
       在这种情况下，卡巴斯基能够恢复任何Rootkit造成的对系统的破坏。例如，如果文件不能被修复，可以删除它。但这样做也是在冒险，一些系统文件被感染后删掉会造成系统崩溃。这也是卡巴斯基不总是删掉所有的带毒文件，在清除文件之前要仔细核对是否是系统文件。
       此外，Rootkit利用各种对抗技术攻击安全软件，使其停止工作甚至删除安全软件。卡巴斯基提供了强有力的自保模块保证自身不受威胁。



采用Anti-Rootkit的产品：
       Anti-Rootkit技术集成到以下产品中：
       对家庭用户：
       KFA/KAV/KIS/KTS，以及早期的版本如PURE。
       对企业用户：
       KES/KSOS


Anti-Rootkit技术的优势：
       网络犯罪分子总是竭力使恶意软件悄悄突破安全软件的防线，所以选择防护产品要格外注意产品处理复杂威胁的能力––––Rootkit和其他复杂威胁。卡巴斯基的解决方案包含所有必须的技术。
       •访问硬盘的底层权限来阻止Rootkit。
       •有高级技术来绕过Rootkit在系统中留下的修改（这些修改阻碍检测Rootkit)。
       •控制并保护关键的系统文件。
       •对感染进程实行多级控制。
       •控制好安全软件的性能。
       使用集成有Anti-Rootkit模块的卡巴斯基产品确保用户的重要数据，网络支付信息和其他有用的在线信息的安全。

白露为霜

卡巴斯基Anti-Blocker技术

       很难想象电脑中的程序，电影，音乐，游戏以及网络都无法访问会多么糟糕。计算机在人的生活中起到很大作用。
       然而这引起了以编写和传播恶意软件的网络犯罪分子的注意。这几年来犯罪分子使用的一种工具叫做Blocker Family。
       有时候这种Blocker（即勒索程序）会锁住关键的应用程序，有时候会锁住整个计算机不能使用。然后很简单，犯罪分子的目的就是让你付钱来解锁文件（通常不花钱解密成功是不可能的，除非算法有漏洞，或者原作者公布解密工具）
Blocker木马通常隐藏在音乐，视频，图片文件，文档中。尽管Blocker很久就出现了，但现在它被使用的很多。


       即使这些Blocker因为传播广泛而被安全软件厂商不停地入库，它们依然爆发式增长。主要原因之一是即使在安装了安全软件的设备上，虽然当用户下载一个恶意文件时安全软件给出了警报，但用户毫不理会，依然一意孤行打开自己认为安全的文件，比如一个带毒的视频，一首音乐。
      当然最重要的原因是用户为了解开被加密的文件，给犯罪分子支付了赎金（这也是没有办法的事），这助长了他们的兴趣，使其继续发动勒索攻击。


勒索软件的形式和分析
      勒索软件家族的很多成员手段还是比较原始简单的。不过近来犯罪分子开始使用高度复杂的勒索程序。比如勒索软件显示一个要求赎金的窗口，在所有打开的窗口上面十分刺眼，甚至用任务管理器也无法停止勒索软件。一种更高级的：不允许用户以任何形式使用系统，系统被锁住只留下勒索窗口。

     勒索程序对系统环境大肆修改，系统无法响应用户的合法请求。这项功能让勒索程序拦截了一切鼠标和键盘的指令。然后用户此时不可能启动安全软件，只得使用其他正常状态的计算机，创建启动修复光盘和杀毒光盘修复系统所受的修改（加密的文件不会被恢复），为了保护用户防御多种网络威胁，卡巴斯基开发了便捷高效的新技术，打击Blocker并修复所做的更改。


Anti-Blocker怎样工作
     这项技术有效地打击了Blocker，因为使用了两项技术：安全键盘驱动和强大的回滚技术。以前，安全键盘驱动是用于防御Keylogger（监听键盘鼠标）的，但是现在成了染毒计算机上用户与卡巴斯基交互的通道。当卡巴斯基安装后，会替换掉原有的键盘驱动，这可以确保键盘与卡巴斯基的数据交互安全性。这个驱动接收到来自键盘的信号后，会将信号转为普通可识别的信息，比如在社交网站或网上银行输入的密码。这解决了我们敏感数据在交互中被截取的可能性，因为这个安全的信息交换通道。在KIS2014中，这种技术开始有了新的用处。

     事实上，Blocker并没有办法完全阻断系统接收键盘的指令，只是把它们“劫持”到了Blocker，卡巴斯基安全键盘也是这个原理，在Blocker劫持信号之前已经转向了卡巴斯基的驱动，卡巴斯基Anti-Blocker和安全键盘驱动从KIs2014开始就是防护体系的一部分，确保了计算机在受到感染时卡巴斯基还可以和用户交互。
     为了启动Anti-Blocker技术，终止锁屏软件，你需要按下组合键，默认是Ctrl + Alt + Shift + F4 （KIS2014版，其他版本以实际为准），当然你也可以调为其他组合键防止冲突。

     按下组合键卡巴斯基会立即判定计算机上有Blocker在运行，会立刻启动Anti-Blocker模块，使用一整套启发算法，识别Blocker的进程，并强制结束他们，确保用户计算机不被锁住（当然卡巴斯基自动检测到Blocker运行也会这么做）。终止Blocker后卡巴斯基会彻底移除掉Blocker。



Anti-Blocker技术的优势

     Anti-Blocker技术有很多优势，比如：
     •如果用户被一些信息诱骗不顾警告运行了Blocker，绕过了安全软件，还可以自动防护。
     •为了解除威胁无需使用CD修复盘或者求助于第三方计算机。
     •当用户工作时打开了重要文件，而此时Blocker已经运行，可以允许用户先保存文件，防止数据损失。而以前的方式往往需要自动重启计算机，用户的未保存数据会丢失。

     所有高质量的安全软件须保证易用性，且能够防御各式各样的威胁。KIS，只用四步消灭Blocker，是你的最佳之选。



采用Anti-Blocker技术的产品
     KAV/KIS/KTS

白露为霜

卡巴斯基HIPS

      卡巴斯基个人版产品里有的包含了HIPS（主机入侵防御检测系统）。这套防御系统用来检测和防御不想要的程序（PUA）和恶意程序的活动。卡巴斯基强大的技术只防御恶意程序和不需要的程序的危害，不影响用户对计算机正常的使用。这确保用户计算机资源的低消耗和防御的高效性。



为什么需要HIPS      
      如今用户的计算机面临着持续增长的恶意程序的威胁，木马，蠕虫和病毒破坏计算机系统，线上交流，偷取机密数据并监视用户。
      用户需要有效的保护避免恶意软件和黑客的攻击。网络入侵检测系统（NIDS）分析网络流量和内部网络的计算机，虽然它可以限制对加密资源的频繁调用。NIDS也不能阻止来自可移动的媒体的威胁。一个能够在本地防御的系统（HIPS）是个更实际的办法。它可以监视在本地计算机上应用程序的行为并封锁用户不想要的行为。
     HIPS有效之处：
     •在病毒数据库里没有收录新病毒的信息时，减少入侵和传播病毒的风险，
     •已知的病毒启动时阻止它们。
     •阻止可疑程序的活动。
     •保护数据不被偷窃。


对应用程序活动的过滤检查
     HIPS是主要设计来过滤应用程序活动的。卡巴斯基产品中的HIPS模块确保对应用程序全面的控制，而不影响计算机性能。一旦病毒行为被发现，会即刻被封锁，我们提供了高安全级别的保护。
     根据详细分析程序的行为，HIPS将应用程序分组。分组的指标有以下几个：
     •常规病毒扫描。
     •从数据库中查询此文件信誉情况（是否受信）。
     •检查数字签名。
     •在仿真安全环境（虚拟环境）中程序的可疑行为的检测结果。
     •将程序的行为和已知的恶意程序的行为对比分析的结果。

     对应用程序的分析有几个标准，对它们危险程度的分组很“有理有据”。HIPS能够详细分析应用程序的结构和应用程序的文件夹内容。因为不单靠数据库，HIPS既能封锁已知威胁，也有打击不在病毒数据库里的威胁的能力。
     由于白名单（Whitelist，列出了可信任的程序）的作用，HIPS减少了很多关于合法程序的误报，这使得卡巴斯基的程序更易用。
     HIPS的设置相当灵活，可以将程序最高调为完全封锁最低调为到最小的监控（轻微的检测）。应用程序可以被HIPS分成4个组别：信任组，低限制组，高限制组，不信任组（完全封锁）。在低限制组和高限制组的程序并不是被认为是恶意程序，但是对于可执行和其他文件的访问，对注册表的访问和更改，网络和其他资源的使用受到不同程度的限制。

     除了分组，HIPS也可以给计算机上的文件提供可配置的保护，也就是说HIPS可以限制程序对用户文件的访问。例如，可以创建一个特殊的组将重要文件（银行数据，邮件，即时消息）放入，卡巴斯基HIPS会对这些文件提供防护，可以配置访问权限免受篡改和窃取。（提示下：这一点也可以用来防护勒索软件，保护组里的文件通常不会受影响，为什么是通常，因为我没法保证〈笑，我在说废话了，但不得不说〉）     
     总的来说，卡巴斯基的HIPS模块灵活准确的筛查程序活动，这比“非白即黑”或“非黑即白”的模式好得多。
      


对高级用户和初级用户都很易用
      HIPS控制程序活动，其功能模式也满足了各种各样用户的需求。

      用户可以自主选择最适合自己的工作模式：
      •交互模式：用户给出指令关于控制程序的什么行为，这适合高级用户。
      •自动模式：用户无需任何指令，卡巴斯基HIPS自动处理应用程序，这适合没有经验的用户。

      用户可以更改应用程序的活动和受保护资源的预设规则，也可以创建新规则来配置用户私人文件的访问权限。用户也可以修改程序的子程序的权限。例如它可以将由一个Messager启动的未知程序定义为“信任组”。



HIPS组件的优势：
      •当某个程序第一次启动，HIPS对其进行彻底分析并将其分组。当它随后开始运行时，会被持续检查行为。如果程序自身更改了，会重新检查。
      •如果计算机连接到了互联网，卡巴斯基会从KSN（卡巴斯基安全网络）接受启动程序的信息，这是一个网络信用评级服务。如果服务器返回新的信息，程序的分组可能会被重新调整。比如，服务器认定一个程序是恶意程序，它将马上被封锁。
      •此外，从卡巴斯基9.0开始，这种模式就有能力防御未知病毒了（没有进入病毒数据库的病毒）。

      HIPS还采用集成的其他技术，比如常规病毒扫描，使用离线和在线数据库扫描，软件数字签名验证，基于仿真环境和启发分析。

異鄉人

感谢翻译，精品贴，版主快来！！！

白露为霜

異鄉人 发表于 2016-6-12 22:36
感谢翻译，精品贴，版主快来！！！

感谢支持。

这只是其中四篇白皮书，也许还有KSN，SW，漏洞攻击，Anti-Spam等介绍

pal家族

66666

pal家族

为了启动卡巴斯基安全键盘，你需要按下组合键，默认是Ctrl + Alt + Shift + F4 ，当然你也可以调为其他组合键防止冲突。

翻译错误？该快捷键是用来检测并结束锁屏软件的。
不是F4 是P键

白露为霜

pal家族 发表于 2016-6-12 22:54
翻译错误？该快捷键是用来检测并结束锁屏软件的。

To activate the technology the user has to press the special key combination Ctrl + Alt + Shift + F4 .

thx~
F4可能是针对14版的吧