探秘Sophos反病毒实验室监测病毒全过程

文章来源：CSDN
对细节超乎寻常的关注，暗示了这样一个安全公司对商业市场提供服务的能力，也就在这样的环境中，Sophos每个月发现1500-1600个新的恶意软件。Sophos的资深安全顾问Carole Thierault说，“在商业用户看来的好处在于，对拥有10,000名雇员的客户，我们只需要和负责IT的一个人交流而无须面对10,000名不同的雇员，这意味着我们的响应速度比我们的竞争对手要快。”

　　根据Sophos的说法，这也意味着可以根据其商业客户的指定要求转移更多的资源。“我们可以为单个用户定制AV软件。可以在OS2, Open VMS和其他更老的操作系统上使用我们的反病毒软件。客户仍然运行在这些系统上是因为他们最初的投资，”Sophos的资深技术顾问Graham Cluley说。

　　Sophos的主要团队似乎比其竞争者的规模要小，但是他们说员工人数少意味着灵活。首席病毒研究员Vanja Svajcer说，“这里有30名研究分析师，在世界各地还有20名”。

　　世界各地

　　英国反病毒和反垃圾邮件分析师进行倒班工作，并且可以向公司的其他部门和外部顾问外包分析。除了其自己的国际实验室和办公室之外，Sophos拥有一个包括分布在150个国家的合作网络，可以为其提供帮助。

Sophos诱捕病毒并且在Pentagon中的安全区域分析它们。不允许任何人携带任何可能感染主机或自身被感染的设备。无线可能很灵活，但是对Sophos来说不够安全，所以启用Wi-Fi的膝上电脑和蓝牙电话不得带入实验室。

　　Sophos使用一个“密罐”全球网络以诱惑可能对其客户产生威胁的最新病毒，特洛伊木马和蠕虫。本质上来说，密罐是连接到Internet而未受保护的PC，它们所有恶意程序最理想的主机。Svajcer说，“恶意软件可以进入密罐，但是由于有一个单独的硬件防火墙进行隔离，它无法再进一步传播”。

　　密罐

　　通常，密罐是没有运行XP sp2或任何反病毒软件的Windows主机。在12分钟内有50%被感染的可能性，在40分钟内有90%被感染的可能性。

　　为了能够解决大量的文件需要进行病毒检测(每天大概2000个)的问题，Sophos使用不同的自动技术从已知的干净文件和不被认为“易感染的”文件中(一些图像和数据格式以及被破坏的文件)过滤并隔离已知的被感染文件。

　　所有通过初始过滤阶段的文件被送到被称为Mentor的自动分析过滤系统。所有进入的文件也进入一个Sophos的手工系统，技术人员在这里使用不同的分析工具以查明恶意软件如何工作以及威胁程度。在该恶意软件被确认并且另一轮的测试和分析结束后，它才被发布，然后Sophos的产品进行更新以识别它。

　　直接报告

　　Sophos的许多产品，如PureMessage和MailMonitor，也从密罐系统中收集信息，并具有直接向公司返回报告的功能。如果客户打开这项功能，Sophos将以设定的间隔收到原始数据。然后这些数据通过一个阅读器并且组织成能够阅读和理解的形式。

　　Svajcer说，“因为我们在全世界拥有大量的客户和密罐，我们可以确定对不同用户的攻击是否是不同类型的威胁。这些信息对分析的过程非常有用，这也有助于我们向执法机构报告有用信息，特别是将分析信息和病毒代码内部发现的信息结合起来的时候”。

Rootkit

　　一些恶意软件比其他更具威胁。目前排在Sophos最危险名单前列的是rootkit的使用，僵尸的蔓延和一直挥之不去的垃圾邮件威胁。

　　rootkit是一些在系统中用来隐藏其他进程或文件的软件，所以rootkit和恶意代码没有出现在进程列表中。前不久Sony BMG唱片公司偷偷以数字版权管理机制(digital rights management)为媒介，将 Rootkit木马程序植入使用者计算机中引起了人们极大的愤怒，这也进一步强调了安全企业在不断增加的威胁出现时应该做什么。

　　如果计算机随着时间越来越慢，或者如果硬盘上的空间变得越来越小，公司可能怀疑某台机器被安装了rootkit。检测是否存在rootkit的一个方法是观察哪些端口被用来传输数据包，特别是如果打开的端口和一个特定的安全漏洞联系在一起。

　　该问题的另一个解决方案是安装软件工具以截获并显示进出PC的数据包的内容。通过监控这个数据流，可能能够确定是否有非法邮件被发送。

　　僵尸网络

　　数量不断增长的僵尸网络也是一个严重的问题，PC很容易被黑客劫持并且被用在发送垃圾邮件或拒绝服务攻击当中。用户经常被诱骗安装了将其PC控制权交给黑客的代码，这并非通过狡猾的软件而是通过所谓的“社会工程”来完成的。

　　Svajcer说，“我们看到过声称来自微软技术支持，包含同样的图形和字体的社会工程电子邮件，声称包含一个补丁。当这个文件被打开，它包含的.exe文件执行代码会以类似Mspg.32.exe这样的名称将自己复制到某个系统文件夹，由于许多合法的文件都有类似的名称，这给发现它们带来困难”。

　　恶意的可执行代码使得计算机被远程控制。控制这些僵尸的人通常建立一个只有他们知道的登录方式。这增加了僵尸的专用性并且保护它不被任何其他黑客劫持。

　　共享信息

　　由于在现实中流通着大量的恶意软件，多数安全公司制定了相互合作的策略。Sohpos和F-Secure，McAfee以及Symantec这样的公司相互共享最新安全威胁的信息。最新被识别出的病毒通过使用PGP加密，有时甚至通过CD发送进行交换。

　　客户也发送信息，如潜在的恶意代码，或有时是他们在病毒交换Web站点上发现的代码。一些恶意代码甚至直接是其作者发送而来。这样的例子是Phage，在2000年九月第一个被发送给Sophos和其他反病毒供应商的Palm特洛伊木马。该病毒未被扩散，因为其作者公布了代码，目的是使自己声名远扬。

　　病毒编写者

　　其他病毒编写者在编写过程中发送其作品，希望有关其病毒的警告会出现在反病毒供应商的站点上。未完成的恶意软件通常有错误，而编写者们希望安全公司的警告会有助于他们完成自己的软件。

　　和技术层面的恶意软件不同，应对垃圾邮件仍是Sophos重要的一项工作。公司垃圾邮件处理小组的11位成员专职分析并观察垃圾邮件趋向。自发的邮件和从与反病毒密罐工作原理类似的垃圾邮件陷阱中被提取出来的邮件，均被定义为垃圾邮件。

　　垃圾邮件研究分析师Paul Baccas说，“我们从密罐中收到的所有邮件都是不合法的。所有包含一个大附件的邮件将由反病毒人员进行分析，因为恶意软件时常以垃圾邮件的形式传播”。Sophos使用的密罐都是和ISP协商后重新指定的不合法IP地址。

　　阻拦垃圾邮件

　　反垃圾邮件软件自动过滤Sophos收到的95%的垃圾邮件。其余的5%被各种规则自动引导，这些规则考虑是否垃圾邮件来自于一个已知的垃圾邮件回复，是否它包含高百分比的HTML以及是否有可识别的文本字符串。

　　在自动过滤之后大约剩下0.05%的垃圾邮件。这时分析师插手进来以确定其特征并且希望得出一个阻拦它的方法。Sophos寻找的一个特征是段落印迹。每个垃圾邮件都具有一个特定的段落中断，垃圾邮件以此为特征并且使得Sophos能够识别它并编写一条规则阻拦它。规则不断更新，来逐步降低垃圾邮件的活跃性。