白名单技术：对抗恶意软件攻击的“灵丹妙药”？

显示全部楼层 · 发表于 2016-7-4 13:00:23

几乎所有恶意软件都是在被释放出去后最初的几小时或者几天内威胁最大。之后，这些恶意软件样本就会落入反病毒分析专家设置的“陷阱”，接下来有关这些恶意软件的反病毒数据库更新就会传遍全世界（由于云技术的普及，反病毒数据库的分发几乎是即时完成的），这些最新的恶意软件就会在采用反恶意软件解决方案保护的计算机上遭遇抵抗。

但是，即使是很短的有效时间，也足够让黑客实现自己的目标。例如，很多情况下，最新的和独特的恶意软件变种主要用于复杂的攻击。白名单模式是一种常用的能够有效应对这类恶意软件攻击策略的安全措施。

采用白名单技术的解决方案不允许白名单列表以外的任何程序启动和运行，这里的白名单可以是开发人员设置，或者由管理员针对特定的系统进行设置。理论上来说，这种模式能够提供绝对保护：即使攻击者成功注入了恶意代码，安全解决方案也会拦截这些代码执行。

但是，在实践中，事情并非如此简单。网络罪犯会使用多种策略执行恶意代码，根本无需启动可执行文件。作为实验，卡巴斯基实验室检查了哪些具有受信任证书的白名单应用程序会试图访问已知的恶意服务器。在六个月的观察期内，我们的系统记录到超过30,000次不同合法程序的试图访问恶意服务器的企图，其中包括应用服务器、数据库、ERP系统和设计软件等。被访问的恶意软件传播服务器遍及全球94个国家。

当然，并非所有的访问企图都会导致感染，而且我们的统计数据仅来自那些得到全面保护的系统。但是，这些受信任的以及被列入白名单的应用程序为何会出现这些行为？我们决定进一步进行研究。

结果证明，有些情况下，攻击者甚至无需采取复杂的攻击手段。这些示例来自哪些使用浏览器组件的应用程序。通常，用户会选择和下载一个浏览器并使用它，甚至会定期更新这款浏览器。用户可能没有意识到自己的系统上还有另外一款作为附加组件被集成入其它软件的浏览器。所以，当其他程序如ERP系统需要通过HTTP协议访问网站时，可能会使用集成的浏览器，而这种浏览器很长时间都没有更新了（或者从来就没有更新过）。最终，这种过时的浏览器可能会遭遇漏洞利用程序，例如在这款浏览器最后一次更新之后发布的Angler。这就是一种利用白名单程序下载恶意代码的手段。

另一种常用的手段是DLL劫持。这种感染手段的实施方法各不相同，但是本质都十分简单：多种软件应用中包含的多种漏洞，能够让攻击者有机会在下载应用时，利用未授权的DDL文件替换掉合法的库文件。这样，这种受信任的应用就会具备全新的不受信任的功能。

很多情况下，服务器感染是管理员自身造成的，因为管理员使用了从不受信任的来源下载的未授权应用或免费版合法应用。正如我们上面所说的，即使是有数字签名，也不能保证下载的可执行文件中不包含恶意代码。恶意软件可能没有被打包如可执行文件，而是被放在随同的DLL文件中。这样，恶意软件就可以渗透合法应用程序的内存区域，以合法应用的权限运行。

我们并不是说白名单技术毫无用途。事实上正相反，白名单技术能够避免很多麻烦。不仅如此，白名单技术在不同产品中的应用也不尽相同。例如，卡巴斯基实验室的解决方案使用了默认拒绝模式。这种模式不仅会阻止任何白名单中之外的可执行代码运行，还能够监控脚本、固件和库文件。

尽管如此，我们认为仅仅使用白名单技术还是不够的。安全应当是多层级的，而白名单技术只是其中的一个安全层面。启用白名单技术，确保白名单中的应用都是从受信任来源下载的；控制所有应用程序的网络行为；当然，还要启用反漏洞利用程序技术。这样做的话，才可以说你的系统得到了完善的反恶意软件保护。

显示全部楼层 · 发表于 2016-7-4 14:14:10

DLL劫持问题，还是系统安全设计太狗屎造成的，目前的机制下，基本上无法根除

除非来个dll白名单风暴，把世界上产生的所有安全dll全部加白，这个工程难度不是一般的大。

按照安全设计原则，分类对待才是最好的根除方法——系统应该设计成：两大分区模式：windows自带的原始的dll（经验证没有被修改过的dll，系统核心专门用个驱动来验证这些dll及其他文件），列入可信区，作为公共资源使用；用户自己下载使用的dll文件，归入非信任区（实际上就差不多是个沙盘），进行隔离操作，即使要用rudll32这样的东东加以执行，也是根据dll类型分为两类：绝对可靠的dll，与不可靠的dll，凡是不可靠的dll，其宿主继承权限为不可靠，大规模地进行降权处理。如果合法程序载入不可靠dll，将该程序一切为二，夹带“危险dll”的那个作为分体，关进小黑屋，其与无害的主体程序之间的通信，进行中转与审查，发现有害的东西自动拦截并终止小黑屋内的那个分体。

其实windows设计成进程隔离，是最好的结果：除了系统核心进程以及安软等极少数绝对可靠的进程，其它所有程序，通通隔离，打进小黑屋——说人话就是：windows系统仿照监狱模式设置，每一个无特权通行证的，扔进一个黑屋子里任你耍，你要什么资源，合法要求的都可以给你虚拟出来任你折腾，至于你折腾的结果，由系统判定，无害的加以保存，有害的随风而逝.....【实际效果就是，你是个图形驱动，就做你图形描绘这个范围内的事，其它的免了；是个浏览器，就浏览网页，下载数据，别去侵入其它进程，改写系统文件与设置，这都是非法的.......】

显示全部楼层 · 发表于 2016-7-4 14:36:22

柯林发表于 2016-7-4 14:14
DLL劫持问题，还是系统安全设计太狗屎造成的，目前的机制下，基本上无法根除除非来个dll白名单风暴， ...

柯大真是一天不黑微软就浑身难受啊

显示全部楼层 · 发表于 2016-7-4 14:42:07

而我到底是谁发表于 2016-7-4 14:36
柯大真是一天不黑微软就浑&# ...

windows虽然好用，智能傻瓜化这一点是没得说的，但是安全性确实差啊！希望win12来个大改变，彻底抛弃win95以来的糟糕架构，用安全性更高的架构来取代。那样，大家用着舒心，微软也才能一统江湖，千秋万载呀

[资讯] 白名单技术：对抗恶意软件攻击的“灵丹妙药”？

本帖子中包含更多资源

评分