江民软件副总戴硕：网络安全的病毒防范

     2006年12月6日，电子金融网络安全论坛在北京举行，新浪财经独家直播。下为江民软件公司副总戴硕的发言。

　　戴硕 ： 大家好！我是北京江民新科技术研发部的戴硕，我的发言题目是“中国互联网用户网络安全的病毒防范”。最后我还要介绍江民公司反病毒防范网银木马方面的解决方案。

　　自从上世纪90年代以来，中国各大银行纷纷推出了网络银行的服务，网银这个新兴的金融业务形式，以及高校、灵活、低成本全天候服务的特点迅速聚集了大量的用户，网络技术给网银带来传统银行服务无法媲美的优越性，同时带来了拥护和银行来说非常重要的问题，那就是安全性问题，这个观点前面已经被很多次的重复过的。

　　网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象，随着近年来中国的网银用户数量突飞猛进，越来越多的中国黑客开始针对中国国内的各种在线金融服务发动攻击或者编写木马，下面让我们看几个近年来发生在中国国内的网络银行犯罪的例子。

　　(播放幻灯片)

　　2004年4月，网银大盗网银木马的作者和传播者利用木马窃取的密码，窃取了4.8万现金，04年末

证券大盗，是一个针对证券交易客户端的这么一个木马，它的作者利用窃取的股民账号、密码盗买盗卖达到1149万元，给受害股民造成了巨大的损失，2005年的7月，新网银的作者以7000元的价格把自己的木马卖过了在校的中学生，买通了其他的黑客，黑掉了国内某个知名门户网站的网页，把这个木马挂在了门户网站的网页上，非法获利65200元。

　　上面这些都是近年来中国公安机关破获的实例，当然总数不止这些，我只是举几个例子而已，说明现在国内的一些网上交易平台确实存在一些漏洞，而网银木马有时候的确能够抓住这些漏洞，给其制造者带来不法收益。

　　下面我来简单介绍一下，目前来讲，中国网银用户上网交易的几种形式：首先一种就是最传统的账号加密码的形式，在这种形式下，用户自己拥有账号和密码，通过输入正确的账号和密码登陆网上交易系统最终完成整个网银交易，这种登陆方式，最大优点在于它的易用性，从登陆和完成交易的整个过程都可以很方便，缺点很明显，一旦黑客得到密码，可以以用户的身份登陆网上银行，窃取用户的资金。

　　第二种就是证书文件加上密码，这种登陆形式，和第一种相比，他用证书文件代替了传统的账号，在安全性方面得到了大大地提升，但是它所带来的缺点就是易用性的下降，因为证书文件不再是用户能够很轻松记忆的东西，必须保存在一个地方，或者用户必须要随身携带。

　　还有一种是USBK加上密码证书的文字，因为数字安全证书是以硬盘文件的形式可以保存在磁盘上，所以木马仍然有机会可以窃取到证书文件，针对这种证书文件，USBK是不可见的，也是不可观察的，所以网银木马无法用很简单的方式复制USBK的，目前为止这种登陆形式我们还没有发现有网银木马能够针对USBK的形式盗取用户的信息。

　　下面我们用简单的表格把三种登陆方式对比一下，可以看到三种登陆方式，他们在安全性方面是逐步提高的，而在灵活易用和成本方面都是有一个下降的趋势，其中前两种，账号加密码和证书文件加密码，这两种证书形式是容易受到网银木马的攻击的。

　　接下来我们看一下中国网银木马发展的现状和趋势，2004年7月，江民公司的反病毒中心截获了国内的第一支证券木马，网银大盗，距今过去了两年半的时间，根据江民公司病毒预警系统的数据，我们得到了下面的统计图表，显示了2004年8月到2006年10月这两年多当中，用户感染各类网银木马及其变种的数量，红色这条数字线是代表了木马的数量，可以看到2006年，当前差不多每月有160种左右的新的网银木马出现，而在2004年这个数字每个月大约只有10种，所以在两年多的时间内，网银木马的数量增长了16倍。

　　再来看一看被网银木马感染的用户的数量，这个数量增长就是更快了，在2004年，我们的预警系统只监测到大约60台用户计算机感染过网银木马，而在2005年这个数字增加到1100台，在2006年前10个月，这个数字是37000台，可以看到被网银木马侵害的用户呈爆炸式的数量增长。

　　刚才已经了解了网银木马的现状和趋势，现在我向大家介绍一下网银木马的常用技术，我在这里列举了几种最常见的，首先第一个是虚假网站和服务器攻击，刚才已经被反复地提过了，我在这里用一个简单的图示的方式向大家解释一下，首先虚假网站，也就是经常说的“钓鱼网站”，主要就是黑客建立一个恶意的网页，在这个恶意网页上可以做得非常像官方网站的样子，完成这件事情以后，黑客就要诱使用户访问他的恶意网站，可以为自己的网页申请一个酷似正规网站的域名，当用户发生一些拼写错误的时候，就很容易落到黑客的陷阱，或者更直接一些，国内一个黑客可以花几十块的人民币可以买到一个数据库，包括几百万的邮件地址，这些都是黑客诱骗用户的一些方法，无论哪种方法，上当受骗以后都会被黑客截获信息。

　　图示中底下的内容，黑客直接对银行的系统发动攻击，这种方式攻击的成功率并不大，但是也不没有，在06年8月，在中国国内某个知名的证券业网站还是被黑客入侵了，在证券网站上提供的所有证券交易和客户端交易都被捆绑上了网银木马。

　　下面我们来看第二种键盘记录，键盘记录是网银木马最常用的技术手段之一，这类木马一般会监视用户正在操作窗口，如果发现你正在登陆网络银行系统就记录所有的键盘操作，这种方法是很通用也很简单的，用于获得网银登陆，或者是

在线游戏的一些账号密码方面，效果一直是很不错的。

　　在04年的11月，国内曾经出现了一个网银大盗二木马，是非常典型的例子，这个木马把当时国内所有的在线网银系统作为盗窃的目标，而且在我们的模拟测试中，只有提供了一些虚拟键盘技术的登陆系统能够逃避这个木马的攻击，绝大多数的登陆系统在我们的模拟操作中，账号和密码都被成功地截取了。

　　下面我们来看键入浏览器执行，有时候也被加快浏览器劫持，顾名思义就是恶意软件通过把自身的某端代码嵌入到浏览器当中，以浏览器的方式执行，绝大多数的网银交易，都是通过网络浏览器进行的，所以一旦恶意代码能够进入到浏览器的进程中，以浏览器的身份运行的话，可以获得很多有用的信息，比如说它可以获得用户当前访问的页面的地址和内容，因为网银交易系统的数据传输大多经过了SSL加密，在嵌入浏览器当中的代码数据被SSL加密之前截获它，利用这种技术的木马通常会动态地改变用户正在访问的页面内容，比如说可以动态地加入一套脚本，把用户的账号和密码发送出去，这些都是动态完成的，发现它们的痕迹也不是那么简单。

　　使用这种技术的木马，我给大家举个离子，就是网银大盗木马，网银大盗木马就是监视用户正在访问的页面，当它发现用户正在登陆某个网银登陆系统的时候，就会动态把页面跳转到安全性稍差的网站，从而截获到用户的账号和密码。对于有些网银交易的过程，它是只对用户的身份进行了验证，而并没有对交易当中传输的数据进行加密，对于这种交易过程，嵌入浏览器执行的木马甚至可以完全地伪造一次虚假交易，因为只对用户身份进行验证，而没有对加以过程中传输的数据进行验证加密的话，银行的服务器是无法知道给他发出转账指令的到底是用户还是木马，一个木马完全可以等到用户验证成功之后再开始工作，拦截用户的转账操作，对数据进行篡改，再发送出去。

　　下一个屏幕录像，屏幕录像就是有些木马可以对用户在进行网银操纵的整个过程进行录像，这里说的录像并不会产生体积非常大的视频文件，实际上这些木马只是在刚才已经介绍过的键盘记录的这种技术基础上，额外增加记录了用户的鼠标坐标和当前的屏幕截图，通过这些信息黑客可以完全回放出，用户完全交易的时候，访问了哪些页面，点击了哪些按钮，以及看到了什么东西，这些都可以知道，这样达到了录像的目的。

　　证券大盗采用了这样的技术，截屏是二进制的黑白色图象，这种图象体积非常小，易于通过网络传输，不容易被发现，但即使是黑白图象，加上鼠标键盘的数据，对于黑客来说已经足够了。

　　下面是窃取数字证书，因为有些网银交易系统登陆是依靠数字证书的，但是允许把数字证书保存成硬盘文件这是一个安全的隐患，因为一旦数字证书以文件的形式出现，木马就有机会把这个文字盗取出来。还是在2004年的9月，国内出现网银大盗三的几个变种，它的作者仔细观察了某个个人银行系统备份数字证书的整个流程，他编写了木马，他的程序可以准确地识别出整个备份数字证书中的每一个步骤，记录必要的内容，最终再把备份好的数字证书文件偷取一份发送出去。根据这些盗取的数字证书文件和操控过程中的必要信息可以使木马者得到非法使用的目的。

　　最后还想说一下伪装窗口，顾名思义就是木马弹出一个酷似于正常界面的窗口欺骗用户，关于伪装窗口的技术，可以达到以假乱真的地步，很少有人察觉到。这种技术尤其在2006年国内出现了一系列的木马都采用了这种伪装窗口的技术，这种技术听起来，实践起来很简单，虽然技术上听起来比较幼稚，但实际的效果却是很好的。

　　上面列举了网银木马的常用的手段，在实际情况当中，大部分的网银木马是同时采用了多种技术来保证窃取过程的成功率和隐蔽性。

　　现在网上银行业务还是在不断地深入普及和扩展，越来越多的新业务形式正在涌现，比如说还有运行在

智能手机上的掌上银行，木马的跟进速度非常快，可以在今后更有创作性的方法，不久的将来会新的网银木马所采用。

　　刚才介绍了网银木马的技术特征，下面我来向大家简单介绍一下反病毒软件在客户端网银交易当中的安全解决方案。首先介绍一下我们公司，江民公司是最大的信息安全与服务提供商之一，是亚洲反病毒协会的会员企业，研发和经营的产品主要是涉及到单机版和网络版的反病毒软件，网络防火墙，和运行在服务器上的反病毒软件等等，KV系列产品是经过中国公安部门检测的一级品，同时通过了英国新海岸实验室针对反病毒软件的最高级LEV2的认证，目前在中国江民反病毒软件的累计用户达到4000多万。

　　刚才已经给大家介绍过网银木马的种类非常多，而且采用的技术也是非常多样的，如何能够实现一套有效的安全解决方案呢？江民KV反病毒软件，从网银木马的共性入手，实现了一套解决方案，首先在杀毒软件当中实现了一套基于行为监控的主动防御机制，这些木马包括网银木马在内的许多软件都是有共同的行为，我在这里举了一些网银木马的技术特征，比如创建注册表建值，可以在自己系统启动的时候自动运行，设置BSO插件，创建远程线程，把代码注入到IE等进程，用于躲避防火墙等等这些，针对这些木马共同的行为特征，江民反病毒软件对应的开发了一系列的系统监控模块，能够拦截并且组织这些有害的行为。

　　我向大家展示一下，主动防御机制的工作原理，首先一个恶意软件，它会做出一个恶意的行为，因为江民杀毒软件拥有了像注册表监控等监控，拥有了这么多的功能，所以恶意软件的敏感行为，可以被江民杀毒软件拦截到，然后下一步的工作就是把这些敏感行为报告过用户，让用户加以选择，没有通过确认的行为是无法作用用系统的，同时在这个过程中，发生敏感行为的恶意程序样本还会发送到江民服务器当中，经过反病毒工程师的分析，能够很快地制作升级病毒库，分发给所有的用户。这就是基于行为监控的主动防御机制简单的工作原理。

　　刚才，主动防御机制实际上是对抗木马的第一层保护，因为绝大多数的木马都是无法通过主动防御机制这层保护的，实际上我们还是无法百分之百地保证屏蔽所有的木马，我们不能忽视这样的假设，有些非常高明的木马，还是能够成功地盗取用户的隐私数据，针对这一点，我们在杀毒软件当中，开发了隐私数据保护的功能，用户利用这项功能可以设置属于自己的隐私数据库。因为如果恶意软件盗取用户的隐私数据之后，最终还是要把这些盗取的数据通过网络发送出去，在它发送的过程中，可以被江民公司隐私保护模块所截获，首先把将要发送的这些数据和用户的个人隐私数据库在当中进行查询，如果一旦发现匹配，也就是说有用户的隐私数据，将要通过网络发送出去的时候，这时候阴私保护模块会提示用户，供用户选择，如果用户拒绝发送，木马偷取到的隐私数据是无法被发送出去的，这就是隐私保护模块的工作原理。

　　下面我给大家再介绍一个江民密保，江民密保是针对网银木马为代表的软件，江民公司开发了一款独立的密码保护产品，实际上在原有的保护模块的基础上开发完成，首先还是通过图示了解它的流程，恶意软件可以发送隐私数据，可以被隐私保护模块拦截，刚才已经演示过了，在此基础上，我们增加了对恶意软件尝试获取密码行为的监测，恶意软件尝试获取用户密码等，他们也是有一些共同的技术特征的，我们通过对这种行为进行监测，利用系统监控模块和可疑分析模块来完成这个目的的。

　　我们可以对获取数字的行为同样进行连接和监控，并且把这些行为提示给用户，如果用户没有确认的话，一方面用户的个人隐私不会被发送出去，另外一方面，木马获取密码的行为也不会被允许，这是江民密保的工作原理。

　　刚才我给大家简单介绍了主动防御机制、隐私保护和江民密保，这些重点是在于防毒方面，下面我给大家讲的强劲的杀毒能力，则是侧重于对网银木马的一些清除方面，还有Bootscan技术。

　　越来越多的恶意软件采用了一些自我保护的技术，一旦木马运行起来以后，作为杀毒软件来说，如果想清除它不是那么容易的事情，针对这方面，我们开发了Bootscan技术，我想通过下面的突示的方式帮助大家了解Bootscan技术，我们可以想像一台计算机从启动到最终恶意软件运行的过程，首先是系统启动的过程，在这个过程中，传统的杀毒软件和恶意软件都是处于休眠状态，并没有激活，直到windows加载完毕，这时候才会运行，即使在恶意软件启动的过程中，传统软件仍然无法保证在病毒之前抢先激活，这个阶段双方仍然是休眠的状态，一直到最后恶意软件加载完毕，这个时候传统的杀毒软件才可以确保自己已经启动了，但是杀毒软件已经启动了，恶意软件同样也启动了，并且自我保护的模块已经发挥了效用，在这个时段对恶意软件进行查杀的难度是相当大的，而且清楚效果也不是很理想。

　　我们再看采用了Bootscan技术以后的杀毒软件是什么样的情况，Bootscan技术利用了强占式的技术，可以在系统没有加载起来之间首先激活杀毒软件，也就是在windows系统启动过程中，采用了Bootscan技术的杀毒软件能够率先地激活，而在这个过程中，绝大多数的恶意软件还是处于休眠状态，没有激活，自身的自我保护功能没有运行起来，这个时段很容易进行查杀。接下来的后面的各个步骤，恶意软件已经被清除掉了，所以Bootscan技术，由于这种强占式的启动顺序，可以对恶意软件达到一个非常好的清除效果。

　　最后我提几个对今后网银木马防范的建议，首先是加强网银用户的安全意识，这一点也已经被多次提过了，第二点就是加强网银交易的安全性，网银交易的安全性，不仅仅是网络银行系统的事情，也是安全公司的责任，反病毒厂商和银行之间，如果能够通过OEM的合作方式达成一种合作，对加强网银交易的安全性有更好的效果。 第三点就是加强政府部门金融单位和安全厂商的紧密合作，因为在防范网银木马这方面，三方所拥有的资源和各自的只能是各不相同，同时又形成了一种很好的互补，如果能加强三方的合作，充分利用彼此资源能够事半功倍，能够更加有效地抑制网银木马，创造更加和平的网银交易模式，我的发言就到这儿。