看守电子钱包的三道防线

tiejun

网民的钱包总被偷，谁干的？

自去年7、8月份以来，我在淘宝论坛、315网投诉网看到一些当时认为匪夷所思的怪事：
某些用户在网上购物时，总是莫名其妙丢掉几百块或几十块。检查网上银行，发现钱已经汇出，但淘宝的系统显示那笔交易始终未支付，不少网民还会反复支付这笔钱。

我们一般认为https传输交易数据是安全的，是什么东西作怪，让支付环节出错，导致网民丢失财物呢？

为此，我曾细细体会淘宝、京东的购物流程，看看其中是不是存在问题，结果没有发现异常。再去找开发设计毒霸支付环节的程序员，他们告诉我的是，定单内容是可以被篡改的。如果有恶意程序篡改定单，就可能导致网民在支付时，将钱汇到支付宝外的其它帐号。但程序员只是分析了可能性，却没有任何一个现实的例子被跟踪到。

这些例子仍然每天都在315网站和淘宝论坛出现，在很长时间里，我没有发现任何一个受害者能够清晰的描述事件经过。我曾试图和一些受害者联系，希望能还原现场。但是发现很多人在上当之后求助无门，直接格掉了硬盘。受害者在网上购物时，都有一点发蒙的感觉，将钱汇给骗子的那一步，必定与用户的操作有关，几乎所有受害者都从骗子那里接收过文件，这个文件将揭开谜底。

与此同时，发现全国各地的一些新闻报道中也不乏类似案例。其中发生在武汉的一例比较清楚，警方将受害人的电脑交给了一个大学教授，这位大学教授从受害人电脑上找到了病毒程序，然后还原了木马抢钱的经过。

网购木马的特点

通过BD部门找到淘宝方面，他们已收集了大量案例。通过对样本的详细分析，木马抢钱的实现方法基本真相大白。这一切都是木马作怪，木马会在受害者点击支付的瞬即，将原来正常的，付款给支付宝的定单劫持到病毒作者指定的交易链接。这个新增的交易链接，往往指向另一个支付任务，多半是通过一些第三方支付平台去购买游戏点卡、手机充值卡等物品。在支付环节，无论是用户，还是单个的支付环节，似乎都没犯错，都在正常完成自己的任务。但一串正确的操作，连起来后，却是一个错误的结果：网民的电子钱包被盗了。

按照一般的解决方法，杀毒软件抓到网购木马，加入病毒特征，能够防御杀掉就算解决，但这是不完美的，无法克制网购盗贼。因为网购木马有这样三个特点：

1.网购木马仅通过QQ或旺旺传播。网购木马的感染量低，相对于其它影响巨大的病毒来说，网购木马一天只传播几百到上千台机器。但这种感染较低的病毒，却给受害者造成的损失却很大：在中毒电脑上发生的每一笔交易都将支付到病毒指定的帐号，受害者造成的损失比感染任何一个其他病毒更大更直接。

2.受害人收到的一般是压缩文件。病毒发给受害人之前都精心做过免杀，为了对付云安全，病毒甚至用垃圾代码把自己弄的很大，这个病毒的体积一般大于10MB。

3.网购木马抢钱的关键步骤，是在支付的瞬即跳转页面。当然这一步，只会被安全研究人员注意到。

追求完美的解决方案

网购木马是连续多个步骤协同完成抢钱操作，如果只针对病毒文件本身进行查杀，病毒绕过的可能性很大。很多杀毒软件只做了这一步，显然，这不是一个完美的解决方案。

我们的方案是建立三道防线，每一环都令病毒抢劫的难度增加，让用户不受害。
第一道防线：阻止病毒程序接收

网购木马基本通过淘宝旺旺和QQ这两个程序来传播，金山毒霸2011的网购保镖，针对网购木马大多是rar压缩包中的exe文件这个特点，启发判断+云鉴定，来检查你收到的文件是不是病毒。


第二道防线：清理可疑进程

骗子在发送文件给你后，如果杀毒软件报警。骗子会说，那是杀毒软件乱报，骗你关闭杀毒软件。如果你照办，病毒就突破了第一道防线。接下来，网民这个时候是需要上淘宝购物的，金山毒霸检查到你正在访问一些与网购业务很密切的网站时，会立即检查内存。并同时提高安全等级，自动采用非白即黑的安全等级。

当发现当前系统有未被判断为安全的软件运行时，会立刻建议你终止这个可能有危险的程序。

你还可以将未知程序立即提交到服务器鉴定，通常很快就会从服务器得到文件安全与否的结果，如果你淘宝购物时，收到对方一个文件，这个文件鉴定的时间较长，建议暂停交易，别急急忙忙下单。

昨天，我调戏一个小贼时收到的那个样本，在大约10分钟之后，返回结果为病毒。

第三道防线：制造一个欺骗木马的盗梦空间——沙箱
如果骗子还是诱使受害人运行了网购木马，突破了第二道防线，网购保镖还有第三道防线在等着它。未知程序会在一个盗梦空间（沙箱）中运行，这些病毒是不知道的，它以为一切正常。因为盗梦空间（沙箱）的保护，病毒无法在交易的最后关头劫持定单到木马指定的特别帐户中，用户还是会成功的给支付宝充值，从而拍下骗子在网店中展示的商品。

支付宝可以成功收到钱，只要网民在没有收到商品之前不确认收货，这笔钱就属于用户自己。骗子一定会很无语，木马精心构造的陷阱就这样一环环被网购保镖避开。骗子当然是没有商品发给你的，因为这个店一般是骗子用同样的手法从别人手里偷来的。


安全与攻击之间是无止境的猫抓老鼠游戏，网购保镖是目前来讲最成熟的网购保护方案，在这套方案的保护下可以确保网民电子钱包安全。在今后的一段时期内，金山网购保镖防护方案都将是摆在网购木马作者面前一道难以逾越的障碍。

Gavin2306

现在钓鱼太多了，并且很隐蔽，还是有个保护比较好~

tiejun

单纯的钓鱼还挺好人为判断来识别的，木马+钓鱼的识别就较难一些。

但是应用技术手段去代替人工识别钓鱼网站，这个难度不比识别病毒小。

zhaobarry

看看。

teddy230010

2楼惊现一位金山官人

qwe12301

回复 5楼 teddy230010 的帖子

你说的？

897414566

铁军出现了？！

Mr.舞步

tiejun 发表于 2011-3-29 11:29
单纯的钓鱼还挺好人为判断来识别的，木马+钓鱼的识别就较难一些。

但是应用技术手段去代替人工识别钓鱼网 ...

惊现 铁军哥！！膜拜！orz    偶像……

li370286038

铁军尽然也逛卡饭？真的是惊现啊！！！

teddy230010

回复 6楼 qwe12301 的帖子

通过各论坛  微薄的观察  完全可以确定