未知木马病毒检测防范研究与探索

作者：中国工商银行数据中心安全技术部 蒋晓晶 魏依菲

近年来，国内外网络安全形势严峻，国际地缘政治风险加剧，各种类型的网络攻击层出不穷，其中未知木马病毒入侵是最常见的攻击手法之一。未知木马病毒是指无法被现有防护系统特征库和病毒码识别的病毒。由于未知木马病毒未能被事先知晓并检测查杀，因此攻击不易被觉察。如果未知木马病毒成功入侵，可能导致数据泄露、系统无法正常运行，从而造成巨大损失。据媒体报道，2022年4月，哥斯达黎加政府信息系统被未知木马病毒攻击，国家进入紧急状态，超过672GB数据被泄露；同年8月，法国某大型医院被未知木马病毒攻击，医院信息系统无法访问，急诊和手术被迫叫停。如何有效预防、快速识别和处置未知木马病毒，有效避免系统被入侵，是各行业网络安全防护的难点问题。

本文针对未知木马病毒无法识别和防范的特点，结合工商银行多年的实践经验，从已知木马病毒的行为模式切入，总结出一套未知木马病毒主动防范体系，通过主动提前预防、强化行为监测、快速应急处置三个方面，提升系统对于未知木马病毒的防范能力。

一、木马病毒的行为模式

虽然木马病毒会不断进行变种以逃避杀毒软件的检测，但由于其最终目的仍是信息窃取、勒索等，所以其行为模式(如图1所示)存在一定的相似性。

图1 木马病毒行为模式

1.利用电子邮件传播

攻击者将木马程序伪装成邮件附件的形式，收信方只要查看邮件附件就会运行木马程序并将其安装到系统中。

2.利用漏洞进行传播

攻击者直接利用0day或Nday漏洞攻击暴露在互联网的系统，例如，旧版本微软浏览器在执行Script脚本时存在漏洞，即微软著名的IIS服务器溢出漏洞，攻击者通过一个IISHACK攻击程序即可令IIS服务器崩溃，并且同时在受控服务器上执行木马程序。

3.建立连接获取信息

木马程序所在本地设备会尝试与黑客远程服务器端建立连接，一旦连接成功，由远程服务器发出指令，木马程序在本地计算机中执行这些指令，并源源不断地将数据传送至远程服务器。

4.加密本地文件

木马病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人几乎不可能解密。加密完成后，会在桌面等明显位置生成勒索提示文件，引导用户去缴纳赎金。

为有效防范未知木马病毒，需要在未知病毒码的前提下，总结木马病毒在攻击过程中的共性及相似的行为模式，以便对这类行为模式进行逐个环节的针对性防范。

二、针对性的防范措施

对具有共性特征行为模式的木马病毒，一般可以从主动提前预防、强化监测能力、快速应急处置三个角度采取相应措施，实现对未知木马病毒的检测与防范。

1.主动提前预防

未知木马病毒一般会通过互联网入侵和钓鱼邮件入侵的方式进行攻击，因此可以从威胁渠道收敛的角度提前布防。

(1)联动威胁情报

威胁情报主要用于识别和检测威胁的失陷标识，如文件HASH、IP、域名、程序运行路径、注册表项等，以及相关的归属标签，可以帮助企业和组织快速了解敌对方对自己的威胁信息，从而提前做好威胁防范，更快速地进行攻击检测与响应。未知木马病毒的感染渠道之一就是通过互联网入侵，可提前对互联网威胁情报进行分析，对其中可能提供木马病毒分发、下载能力的站点IP(即C2远控服务器)进行强化监测，一旦发现异常第一时间封禁拦截，尤其是实现从内到外对更改IP的访问封堵，避免失陷的目标和恶意IP成功通信，从而阻止黑客通过网络入侵传播未知木马病毒，并阻断其可能利用的远控路径。

(2)恶意邮件拦截

未知木马病毒会通过钓鱼邮件进行入侵，因此部署邮件网关和邮件沙箱、不断完善恶意邮件拦截策略可以有效防止木马病毒的入侵。一是通过增加基于SPF、DKIM的仿冒邮件检测环节拦截恶意发件人；二是通过在邮件标题上增加标识来区分外部邮件和内部邮件，有助于判断是否为来自外部的钓鱼邮件；三是建立行业级联防联控机制，对已经被同业识别为钓鱼邮件的恶意发件人、IP，有针对性地增强防范措施。

2.强化监测能力

未知木马病毒入侵后会表现出一系列非正常行为，企业和组织可以根据纵深防御的理念分别从网络异常行为、本地异常行为、横向移动行为三个大类，结合网络、终端、服务器、威胁情报等各类安全日志对不同类别异常行为进行监测。可以根据不同监测方法的逻辑建立模型，并将各类异常情况在同一个系统中生成告警，以实现对木马病毒情况的统一监测。

(1)网络异常行为监测

设备感染木马病毒后经常会出现网络异常行为，尤其是向特定的域名发起请求进行通信和远控。若该域名经过威胁情报确认为恶意域名，则判断该设备可能感染了木马病毒。因此，企业和组织可利用网络流量监测日志，并结合威胁情报信息，建立网络异常行为检测模型。结合实践，对出网的DNS域名解析请求建模分析，识别如DGA等的异常DNS域名以及命中恶意威胁情报的域名，从而可以监测到可能感染木马病毒的设备。

(2)本地异常行为监测

勒索类木马病毒会调用系统函数在短时间内对本地文件执行大批量加密操作;提权类木马病毒会被黑客用来进行用户提权(将用户从低权限变为更高权限，以达到完全控制服务器、进一步执行系统级别命令的目的)。利用防病毒软件、服务器入侵防护软件，建立本地加密行为检测以及本地权限提升检测等本地异常行为检测模型，可实现对短时间大量加密进程、进程异常提权等行为的主动监测，从而发现可能感染木马病毒的设备。

(3)横向移动行为监测

具备自动传播模块、具有蠕虫特征或者手工入侵进行定点传播的木马病毒，在向系统渗透过程中往往会利用系统漏洞进行横向移动。可利用沙箱对网络流量中的文件载荷进行动态行为分析，识别文件载荷横向移动行为，基于频繁访问139、445等数据共享端口，3306、1433等数据库端口或扫描常见Web端口的横向移动网络层特征，与服务器、终端侧系统日志尤其是SSH、SMB等协议大量报错和Web侧大量异常请求数据关联建模分析，识别横向移动行为，实现对木马病毒横向移动行为的监测。

3.快速应急处置

除了要具备监测能力，具备快速应急处置能力也是避免未知木马病毒大规模爆发的主要手段之一。

(1)丰富告警信息

常见的安全监测设备生成的告警信息往往较为单一，例如，网络告警只能看到IP、端口信息，防病毒告警只能看到IP、设备名信息，管理人员需要根据告警分别查询CMDB、办公设备台账、通讯录等才能找到设备维护人的联系方式进行应急处置。在病毒爆发的时候，快速应急能极大缩小病毒感染范围、降低风险。工商银行依托SOC对各类基础信息进行汇聚，并将信息关联至安全告警系统，极大丰富了信息内容。在病毒告警发出后，可直接准确定位设备并提供设备负责机构及负责人姓名、联系方式，实现快速应急响应处置。

(2)准备应急工具

在确认感染木马病毒设备信息后，应按高优先级要求进行快速隔离断网处置，切断病毒与外界的联系，以避免木马病毒的进一步传播。工商银行针对病毒处置断网场景采用了丰富的技术手段。对于办公终端，通过桌管软件进行一键应急隔离，基于终端和桌管的本地防火墙技术实现断网隔离；对于生产服务器，通过预先编写的自动化工具将设备上联的网络交换机端口进行一键Shutdown，从而阻止未知木马病毒的传播。

(3)建立与防病毒厂商的应急联动机制

当未知木马病毒出现时，往往是由于现有防病毒软件设备尚不具备查杀能力，所以应迅速通知防病毒厂商更新未知病毒的病毒码，这样有利于后续快速监测全辖病毒感染状态、有效查杀病毒。为此，工商银行积极与防病毒厂商强化应急联动机制，确保防病毒厂商在应急情况下可以根据未知病毒信息快速提供临时病毒码并进行部署，实现所有设备基于病毒码的敏捷防护。

三、建立体系化的防范能力

工商银行结合主动提前预防、异常行为监测、快速应急处置的各项措施，初步建设形成了未知木马病毒主动防范体系(如图2所示)，实现针对未知木马病毒从预防、监测、处置到防护效果提升的完整能力。该体系填补了业界对于未知木马病毒感知缺失的空白，并实现了应急处置工具化、自动化，实现在特定时间内完成发现并定位、处置木马病毒以及全行免疫，从而能更有效地监测、防范和应对未知木马病毒的入侵，避免数据泄露造成损失，保障银行各系统的稳定运行。

图2 工商银行未知木马病毒主动防范体系

本文刊于《中国金融电脑》2023年第8期

声明：本文来自中国金融电脑+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。