深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

高考结束,焦急的家长可能会收到来自“教育部”的一条短信,告诉你高考成绩可以通过 App 查询,同时还附有下载链接。


618购物节临近,剁手党们可能会收到200元“红包”,并且提示你心仪已久的手机可以用红包抵扣货款。


《太阳的后裔》中,姜暮烟、柳时镇这对 cp 究竟还会用什么姿势虐狗,纠结的粉丝可能会搜索到网盘链接,希望下载到所有抢鲜的剧集。

当你怀着急切的心情打开网络世界的一扇门,看到的很可能是一只乔装改扮的木马。

木马是这个世界上变异最快的物种之一,黑色或灰色产业的经济链条带动这些“毒虫”昼夜不眠摧枯拉朽地进化。

这些木马究竟用什么姿势潜伏在我们生活的街角,又是用什么姿势猛然从我们大腿上咬掉一块肉呢?这一点,腾讯电脑管家的安全专家刘桂泽很有发言权。因为他掌舵的“哈勃平台”专门为电脑管家提供杀毒引擎,手刃木马是他们的拿手好戏。

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

【腾讯电脑管家 哈勃平台负责人 刘桂泽】

《甄嬛传》和《太阳的后裔》都能传播木马

刘桂泽告诉雷锋网,对热点事件的攀附其实并不是什么新的现象。对于挖空心思极尽所能攫取利益的木马作者来说,捕捉时事热点是他们的“基本功”。只要利用你的欲望或者恐惧,让你成功地下载了木马,第一步就大功告成了。

无论是双11、双12,或者是618,凡是全民关注的购物狂欢节活动,几乎都会有各牛鬼蛇神前来“掘金”。这种活动不仅参与的人群众多,而且在这样的情况下用户很容易放松警惕。

除此之外,例如高考、新年这种固定的社会事件,对于特定的用户来说也是一年一度的“劫难”。当然,时下的热播剧——例如当年的《甄嬛传》和如今的《太阳的后裔》——同样会成为陷阱。热切地想要知道剧情发展的粉丝往往会迷失了双眼,下载了一堆恶意软件仍然执迷不悔。

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

【下载了《太阳的后裔》之后,桌面上出现了奇怪的网页快捷方式/图片由哈勃平台提供】

总之,只要参与某一件事的人数众多,就少不了形形色色的木马和他们背后殷红的陷阱。

故事的开始总是相似的,无辜的童鞋由于各种原因下载了木马。而接下来,他们会见证各种“凶残”的事情发生在自己身上。

密锁敲诈

如果你中了密锁敲诈类的木马,那么恭喜你,你几乎触摸到了“木马界的皇冠”。在你毫不知情的情况下,自己电脑上所有的文档和照片都被加密。而当你意识到这一切发生的时候,将会看到突然弹出的警告框:你的文件已经被我们锁定,向我的账户转账1比特币就可以解锁文档。(1比特币大致相当于3000人民币,当然不同种族和流派的木马索要的赎金可能不同。)

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

【某中文密锁木马的勒索界面和勒索信】

这种密锁类的木马从2015年下半年开始“火了”,一开始我们监测到一些德文的木马,很快就有英文的版本出现了,而到春节的时候就出现了繁体中文版本,今年上半年又出现了简体中文的密锁敲诈木马。你可以很清楚地感觉到这类木马进化的节奏。

刘桂泽说。

根据哈勃系统的统计数据,一款敲诈木马爆发最高峰的时候,一天可以感染将近一万台次的电脑。雷锋网曾经对发生在我们身边的一次密锁敲诈木马爆发做过详细的报道,感兴趣的童鞋可以《《《戳这里》》》

诈骗木马

由于用户往往是在受骗状态下下载的这类木马,所以为了合理地潜伏在你的手机或电脑里,他们往往提供一些用户所期待的“正常功能”——例如欣赏一下小电影什么的。

然而,这类木马的最主要功能其实是尽可能详细地收集你的个人信息。

以之前提到的“高考成绩查询 App”为例,用户永远不可能成功安装这个 App,因为提示用户“安装失败”是阴谋的一部分。用户以为安装失败,自然放松了警惕。事实上,这个木马已经盘踞在后台,静默地翻取你的通讯录和短信,然后找到其中的“爸爸、妈妈、姐姐”等重要联系人信息和带有你的银行卡号、家庭住址、生活习惯等信息的短信,一并传回骗子掌握的服务器。

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

【高考成绩查询 App 的“安装失败”界面/图片由哈勃平台提供】

根据这些极度敏感的信息,骗子可以有针对性地对某个人发起诈骗。一个可以说得出你的家庭住址和生活爱好,并且认识你至亲的人,可以很容易博取你的信任,接下来骗子将要使出的招数就是我们熟悉的电信诈骗了。

广告木马

刘桂泽告诉雷锋网(公众号:雷锋网),这种木马是最近最为猖獗的一类,占到了木马总量的 30% 到 40%,而且还处在逐月递增的态势中。

这类木马已经不从被感染者身上赚钱了,而是从广告商那里赚推广费。

这类羊毛出在猪身上的互联网商业思维精髓已经被黑色产业完整掌握了。这类木马同样肆虐在 PC 和手机两大平台,在手机上,它们一般伪装成为用户需要的软件,但是在使用过程中,它们会偷偷地接受远程控制,为用户静默地安装一大堆其他 App。

这些 App 很可能不是恶意的,而仅仅是有推广需求的 App。他们希望通过种种渠道推广自己,最终这样的任务就有一部分落在了灰色产业的木马身上。这种木马推广和地推在道理上是一样的。

刘桂泽告诉雷锋网,哈勃平台不久前刚刚预警查杀了一个爆发的广告木马,他的小伙伴给这个木马命名为“暗影鼠”。

“我觉得我们起的这个名字还是很形象的。暗影代表捉摸不定,老鼠又是见不得光的。这种木马做的事情非常简单,就是把你电脑所有浏览器的导航页广告渠道改成他的。用户丝毫感觉不到导航界面有任何变化,通过导航访问的网站也没有任何变化。但其实背后的访问渠道已经发生了变更,这样一来,网站的推广费用就会流到木马使用者的手里。


这个木马在5月23日被系统捕捉,我们马上研究并且下发了查杀规则,此刻全网的样本数量只有十万。由于规则下发到生效需要一定的时间,到第二天凌晨的时候全网的爆发量居然飙升到了40万,直到电脑管家开始大规模扫描之后,“疫情”才得到了控制。

以上这三种木马当仁不让地组成了这个月最为猖獗的 Top3。刘桂泽说,最近一年可以很明显地看到黑产“离钱更近”了。以前的盗号木马,在盗取了QQ号和密码之后,如果QQ本身没有携带Q币等虚拟财产,那么就需要通过“撞号”之类的手段,例如尝试用相同的账号密码登陆邮箱、淘宝、京东才能最终“捞”到钱。

现在看来,木马的“老板”——这些黑帽黑客们还是觉得传统的办法准确率不高,而且浪费时间,转而探索了“有特色的新型发展道路”。

木马也会兵法

查杀病毒木马,其实是和他们背后的从事黑色产业的人较量。这是一场无休止的“持续对抗”。他们不断翻新“犯罪技术”,我们也不断破解他们的“作案手段”。

刘桂泽和团队发现,最近不同种族不同流派的木马,“修炼”出两个非常特别的“招式”。

隐身

让自己的存活期更长,是木马的追求。即使能在电脑、手机上多呆半天,甚至多呆半个小时,就可以多盗取一些用户信息,多推广一点自己的“小伙伴”。也可以和杀毒软件博弈的时间更长,不用马上投入精力研究新的变种来对抗围剿自己的杀毒软件。

由于哈勃系统主要采用机器规则的方法来自动判断病毒木马,所以每天有大量的文件样本会经过哈勃的筛查。然而,哈勃团队发现了一个有意思的现象。那就是:有那么一些程序,在虚拟运行环境下没有任何功能,也不做任何动作。

拜托你是个软件,你被安装运行之后什么也不做究竟是为什么?你哪怕访问一个网页呢。。。

研究员的内心是崩溃的,难道真的有人会无聊到写一个什么都不做的程序吗?敏锐的嗅觉告诉他们,这其中一定有“猫腻”。

果然,经过仔细研究他们发现,这类木马在被运行之后,首先要做的动作就是“沉默”

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

“沉默的时间从几分钟到几十分钟不等,最长的一个木马竟然沉默一个小时。”刘桂泽说,“为了提高效率,检测平台不会对同一个文件检测60分钟,默认设置一般都是秒级。而如果换做传统的人工审计代码方式,又至少需要十几分钟到几十分钟。而且现在的木马代码一般都经过了重度混淆加密,甚至可以做到一边执行一边解密,所以人工审计的方式效率也非常低。”

不过,对付这种难缠的木马,研究员想出了一套简单的规则。那就是让哈勃系统在检测的时候,一旦遇到可以的“沉默程序”,就主动跳过沉默的代码段,直接执行真正的命令操作。

当然,隐身的招数并不只有“沉默”这一种。还有一种传统的隐身方式:像寄生虫一样把自己隐藏到文档里,最近又开始“重现江湖”。这就是宏病毒。

安全的博弈过程就是这样,“黑道”想到了一个办法,安全厂商就会不断封堵;如此循环下去,“黑道”可能突然发现最开始的方法又有用了。当然不是简单的重复这种方法,而是叠加了更新技术的“升级版”

由于 Office 的文档有时需要显示动画效果或进行动态数据统计,所以其实 Word 或 PPT 之类的文档实际上允许可执行代码存在于其中。但是,由于过去饱受宏病毒困扰,微软在新版本的 Office 中会默认禁止宏运行。然而,无底线无操守的黑帽黑客把钓鱼邮件和隐私窃取都叠加到了一起。他们的做法是:

搞清楚你的职业和个人信息。然后有针对性地给你发一封足以以假乱真的工作邮件——例如报销发票信息、行业协会通知、客户订单——让你没有不打开附件的理由。而在邮件中,“客户”还会“温馨提示”你,我的附件里面有报价,当 Excel 提示你是否需要开启宏的时候,一定要点同意哦亲~~

雷锋网表示人间最可宝贵的信任似乎被撕裂了。。。

云控

就像自动巡航、停车熄火、倒车雷达逐渐成为汽车的标配一样,“云控”也开始成为木马的标配了。作为一个木马,如果不能实现云端控制,出门都不好意思和人打招呼。

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

刘桂泽说,“灵活快速”是云控的最大优点,它可以让木马和黑客的服务器保持实时的联系,根据具体情况作出最精确的反应:如果发现你的机器安装的是 Windows XP,会马上下发一套针对 XP 的“作战策略”;如果是 Windows 7,那么就会下发一套“Win7 作战计划”;如果是手机,也可以搞定。

而且,通过云控,黑客甚至可以控制木马的生命周期。例如在受害者的电脑上存在一天之后,这个木马就会被强制升级成最新的 2.0 版本。

木马家族的更新速度超出一般人的想象,最快的10分钟就会更新一版。所谓的更新,就是代码结构、加密格式、侵害动作的序列都会发生调整。要想实现这么快的更新速度,黑客有可能一次做了很多木马,然后按照节奏释放出来,还有可能研究了一整套自动化的工具对木马做代码变换。

神魔斗法

对于这种琢磨不定的木马形态,安全专家只能抓住木马最根本的特征——“行为”进行寻找。为了第一时间检测出最新的木马,检测系统只得昼夜不眠,7*24小时运转。

对刘桂泽和哈勃团队来说,他们的任务并不是手动判断一个程序到底是不是木马,而是用自己的经验和理解创造出一条条识别木马的规则,然后让哈勃系统学会这套规则。不断累加的规则可以让系统对于木马的判断的准确度不断接近这些安全专家。

刘桂泽举了几个简单的判定规则:

1、如果一个软件上来就给电脑来个全盘扫描,而且对这么大批的文件不仅读,竟然还写,这就是很明显的密锁敲诈木马的行为。因为正常的软件几乎是没有必要进行全盘扫描的。


2、一个软件运行之后就联网,这个动作本来无可厚非,但如果他每次联网去请求的都是一些控制信息,而且这些控制信息还和软件本身无关,那么这就是很可疑的推广木马。例如QQ在后台联网,一定是下载和自己有关的信息,例如更新包。但是推广木马请求的一般是一大串软件列表加上下载地址,这种特征是很明显的。


3、从移动端来说,正常的 App 运行之后,一旦用户点击 Home 键,它就应该进入沉默状态,最多就是偷偷联网上报一下用户数据做统计之用。如果一个 App在后台有大量频繁的操作,例如读取隐私信息和通讯录,甚至向系统申请短信监听的权限(这种权限一般用在“注册码自动填写”等提升用户体验的功能上)。那么这个 App 的行迹就很可疑。


4、之前提到的“暗影鼠”木马,在安装之后会马上扫描用户都安装了哪些浏览器,同时扫描用户都安装了哪些杀毒软件。这种行为也是非常可疑的。

听上去这种规则泾渭分明,黑白立判。但是刘桂泽说训练机器的最大难度在于“度的把握”。

机器的特点是“一是一、二是二”,而人最大的特点是“一不是一,二不是二”。例如某件事,张三找我帮忙我干,李四找我帮忙我就不干。例如某用户量很大的程序深受用户喜爱,但是它会对用户的注册表进行修改,这种情况我们没办法不放行;而一些小的软件修改用户的注册表,我们就可能会认定它是木马程序。

刘桂泽面对的困难,也正是机器和人之间的能力鸿沟。不过,经过海量的样本进行大量的训练,哈勃系统还是在朝着更聪明和更“像人”的方向演进。这一点让刘桂泽很欣慰。

哈勃系统每天要测试几千万的样本文件,但是到最后还是有不到一千个高度模糊的文件留给我们的研究员。当然我们的目的不是把这一千个文件归类。而是通过研究这些文件的特点,研究出新的规则,让更新之后的系统可以有效判断这些文件。现在每天会产生千八百个模糊文件,也许到了明年的这个时候,每天就只有十个八个模糊文件产生了。

实际上,对于哈勃来说,研究员对于规则的改进还是相当有成效的。过去团队有五个规则开发专家,十个样本分析专家;而到了现在只有两个样本分析专家,其余的专家全部投身规则的研究制定。

只要存在获利的空间和善良的人们,恶意的木马似乎就永远没有消失的可能。在刘桂泽的眼中,往往他们对一个木马家族刚刚搞清楚,另外的木马就爆发了。安全专家和木马作者已经成为了这场永无止境战争的两支常驻军。

既然无法根除人性当中的恶念,那么我们不如期待在这样的神魔斗法中,出现更多精彩的战役。

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

延伸阅读:

《在网上给绑匪交赎金是一种怎样的体验?》

《在敲诈之前,黑客们都是如何给勒索软件加密的?》

《黑客勒索!一个能说出你名字、电话和职位的“熟人”,可能会锁住你的电脑》

更多的技术内容可参考《腾讯反病毒实验室哈勃分析系统,四月威胁情报态势报告》

雷锋网原创文章,未经授权禁止转载。详情见转载须知

深度 | 腾讯安全专家刘桂泽:和木马病毒的神魔斗法

(完)