传统杀毒软件 vs. 军用恶意软件

做者：迈克尔·卡斯纳 （Michael Kassner）
翻译：PurpleEndurer 2012-08-29 第1版

　　前言：杀毒程序过期了。在这种状况下，咱们应该作些什么呢？让咱们来了解一下安全社区里是怎么说的。

 

　　不要在无防御措施的状况下访问互联网，不然你会后悔的。这样的建议不绝于耳。接下来的会是否是：

　　“这意味着咱们你们都在两年或更早以前错过了对这个恶意软件的检测。这对咱们公司，对整个杀毒行业来讲是一个使人扼腕的失败。”

　　这段话源自米克·海波宁（Mikko Hypponen）近期发表的演讲 《为何像咱们这样的反病毒公司未能捕获 Flame（火焰） 和 Stuxnet（超级工厂）》一文，他是F-Secure创始人、研究总监（Chief Research Officer）——数字设备保护领域的一位重要角色。

　　这样的声明对米克来讲非同寻常（他在TED上做了演讲），由于受到普遍关注的电脑安全专家一般会对有关事物表示乐观。我联系了米克，问他是否有进一步的想法：

　　“正规反病毒软件能够很好地对付恶意软件，却难奈政府资助的超级恶意软件。你被超级恶意软件看成***目标可能性有多大？我想这取决于你在作什么。防弹背心和头盔能够很好的对付出来找碴的街头强盗，但无法应付针对大家或者只有你的政府刺客。，你成为政府刺客的目标的可能性有多大？我想这也取决于你在作什么。

　　米克所指的是包括Stuxnet（超级工厂）、DuQu，Flame（火焰）在内的隐身恶意软件（stealthy malware）新家族（军事恶意软件和超级恶意软件是我发明的名称）。在为本文收集事实证据的过程当中，我发现这不是第一次有人质疑传统的防病毒程序。

　　我想向你们介绍，得克萨斯州达拉斯大学的高级信息安全分析师保罗·施梅尔（Paul Schmehl）。保罗仍是一位优秀的做家，他为Security Focus撰写的稿件“廉颇老矣：防病毒扫描过期了吗？（Past its Prime: Is Antivirus Scanning Obsolete?）”的起首段为：

　　“这篇文章的标题和主题显然是有争议的。这从被坚信看到清晰前进方向的杀毒行业的强烈反应中获得了印证。所以，防病毒扫描过期了吗？一言概之，没错，但不要扔掉你的扫描程序。”

　　看来米克并不孤单也不是首倡者，由于保罗在10年前就写出了这篇文章。

　　最后我想介绍的人是布鲁斯·施奈尔（Bruce Schneier）。涉及到任何种类的安全时，布鲁斯倍受敬重。要明白个人意思，能够翻阅布鲁斯的新书《骗子和局外人（Liars and Outliers）》。 2009年，信息安全杂志刊载了“防病毒软件死了吗？”，介绍了布鲁斯和马卡斯·拉努姆（Marcus Ranum）之间的讨论。布鲁斯说：

　　“是的，当新病毒更加频繁地出现，现有病毒变异速度更快时，防病毒程序已变得不那么有效了。是的，反病毒公司永远扮演着追赶者的角色，努力建立新的病毒特征码。是的，在新病毒的特征码添加到检测程序以前，基于特征码的防病毒软件没法保护你。杀毒软件毫不是万能的。”

　　说句公道话，三个专家都以为杀毒软件有存在的必要，但对基于特征码方法的防病毒程序的支持率显然不足。

　　扮演着追赶者

　　咱们在电话交谈过程当中，保罗将传统防病毒程序面临的问题比做“打地鼠（Whac-A-Mole）”游戏，在这个游戏中，地鼠会跳出来，玩家要在这个可怜的小动物消失以前击昏它。保罗解释了二者的类似之处：

　　“Anti-virus scanning is based on Newton’s law; for every action there is an equal and opposite reaction. Each time a new virus, or a new viral approach is discovered, anti-virus scanners must be updated.”

　　“防病毒扫描是基于牛顿定律，每个动做都有一个大小相等、方向相反的反应。每当一个新的病毒，或一种新的病毒工做方法被发现，必须更新反病毒扫描程序。”

　　保罗继续说道：

　　“不难看出这其中存在一个收益递减点，在这个点上更新已再也不可行，由于测试时间过长。客户开始寻找其余克服恶意威胁的解决方案。”

 

　　还有但愿吗？

　　对于如何改善这种情况，布鲁斯和保罗都有想法。我从保罗开始提及。早在2002年，他为行为拦截（Behavioral Blocking）技术而兴奋。我让他作了解释：

　　“解决办法是在一个受保护的虚拟环境中运行未经验证的程序。程序能够执行的全部功能，它一般会进行安装，而后正常运行。程序采起的每一个行做能够用来与一组规则进行比较，从而评定其是否具备恶意。执行某些操做超过必定的数量的程序将被自动删除。处于一个较低的范围内的程序将会被隔离，这样安全管理员能够更加密切地检查它们。其他的程序就过关，原封不动的返回网络。”

　　保罗认为这种方法颇具价值。不幸的是，行为拦截并无得到其余安全专家的一致确定，但有一个被称为白名单（Whitelisting）的技术却得到了。据布鲁斯的说法：

　　“若是人们使用白名单，例如Bit9 Parity和萨文特保护（Savant Protection），安全性将获得改善——我我的建议Malwarebyte的反恶意软件（Malwarebytes’ Anti-Malware）。”

　　持乐观态度的他们同时警告白名单技术存在下列问题：
　　用户界面不是很友好。
　　需求和软件的变动会增长管理开销。
　　没办法处理附著于数据文件的恶意软件。
　　重命名文件不难。（改变文件名就能突破白名单）

 

　　除了行为拦截和白名单外，也有一些新开张的公司致立力解决这个问题——例如CrowdStrike和Shape Security。两家公司经过使人关注的索赔，已经收到象征性的资金，两家公司也将公布技术信息。

 

　　更新：我刚刚收到米克发来的电子邮件，他认为有必要作如下澄清：

　　“关于白名单的这一点：几乎每一个Windows白名单应用程序容许执行由微软签名的未知可执行文件（不然Windows补丁会失败）。这很好 - 除了微软签名的火焰（Flame）之外”。

　　结语

　　除非我错过了一些东西，我没有发现任何在这个时候有效的技术解决方案。我询问过保罗，他也赞成这个见解。保罗补充说，因为为教学机构工做，他的部门天然把重点放在教育学生和教师有关计算机安全的知识。我问保罗，他们是否发现了什么改进。保罗热情地回答，“比他们所但愿的要好。”

　　挂电话时，我想起了TechRepublic做家乍得·佩兰（Chad Perrin）的文章，“授人以渔（Teach a man to fish.）”。
　　（英文来源：http://www.techrepublic.com/blog/security/traditional-antivirus-software-is-useless-against-military-malware/8203）