木马雪崩到APT的关联与必然——对2006年一次技术报告的反思安天 .PDF

木马雪崩到APT的关联与必然 ——对2006年一次技术报告的反思 安天实验室 江海客 
注：本文刊发于2013年《中国信息安全》1月刊，是笔者在第一届 全国网络与信息安全防护峰会（XDEF ，武汉大学,2012 ）上的演讲 整理稿，刊发时有删节。 温故.2006 ——这是一个充满预言、谶语和诅咒的年代，这是一个人人皆神、诸 佛俱死的年代，我自己也曾因某个只言片语的应验，找到先知先觉的 感觉，但推敲起来才发觉自己的狂悖。因此，今天我想认真回顾一篇 2006年所做的技术报告，进行一场反思。 2006年对于整个反病毒的发展来说是一个特殊的年份。病毒从最早 的狭义的感染式恶意代码的定义，已经开始成为涵盖了蠕虫、木马的 统称，而蠕虫被作为研究和产业热点的关注度也已经开始下降，木马 也开始呈现爆炸式的增长趋势。2006年全年产生的恶意代码总量比 1986年到2005年这20年间所产生的恶意代码总数还要多。 2006年9月25日，笔者在武汉大学做了题为《后冷战时代的病毒捕获 体制》的报告，其技术关键词为 “木马、蜜罐、旁路捕获、未知检 测…. ” ，报告的观点为 “当前木马与AV之间的对抗已经从辨识对抗、 查杀对抗进入到体系对抗阶段” ，笔者称之为 “‘后冷战’时代”。 今天的报告正是从对此的反思开始，因此称其为 “温故2006”。 六年前我们认为：木马数量呈几何级数增长的趋势，而溢出技术、驱 动技术、流文件技术及信息伪装技术等众多黑客技术都开始被应用到 木马程序编写中。木马的发展对反病毒的挑战表现于：数量失控、黑 客技术、伪装技术和专有性应用等。 该报告得出 “木马动摇了反病毒体系的根基”的结论：传统AV技术 的根本链路是编制流行 捕获处理，而捕获才是AV 的根基。 AV的机理是以样本满足一定的流行范围或公开发布为基础，立足于 后发式的一对一处理。在此情况下，全面捕获已经趋近不可能，分析 处理强度已趋近不收敛，必须有全新的思路作补充。 此前，我们还提交了一份题为《 “中国信息安全将崩盘”于木马的结 论》的安天内部分析报告。时隔六年，我们的结论是否得到验证呢？ 迷失.2012 ——2012 ，一个让思想者茫然，行动者迷失的年份。 2000~2012数据回溯 我们分别选取了2000年10月24日、2006年11月10日、2012年11月 27日三个时间节点的恶意代码分类数量统计，用以对比分析恶意代 码的发展趋势。为了保证数据的可信度，我们并未采用己方数据，而 是采用了消重后的某国际知名厂商的病毒库中的病毒名称列表。 
图 1 ：选取2000、2006、2012三个时间点的恶意代码累计总量增 长示意图 
图 2 ：2000、2006、2012三个时间点的恶意代码分类比例构成 以上数据显示，从2006年到2012年间出现的恶意代码中，比例最大 的显然是Trojan。其数量从2006年的8.4万余种增长到2012年的726 万余种，而其他类型的恶意代码尽管均有不同程度的增长，但却完全 被木马的增长掩盖掉了。那么我们的 “木马崩盘”的预言是正确的 么？ 失效的预言 确实存在木马数量爆炸式的增长并未得到遏制的事实。但我们不能不 面对两个问题： 第一，信息安全整体崩盘了吗？没有。网银、网游等产业依然在快速 成长，用户的安全体验实际上在提升。 第二，反病毒的根基动摇了吗？同样没有。我们看到的是整个信息社 会和信息安全产业在攻击威胁的增长中所呈现出的一种异常旺盛的 发展和适应能力 ，不但没有崩盘，反而是壮大发展了。 信息安全的状况并非是随着恶意代码数量的激增而急剧恶化的，而是 呈现出一种微妙的平衡态 ，这是值得反思的。因此我们是做出了误判， 但我们更大的误判还不在这一点，而是我们过度的思索了数量膨胀带 来的挑战，却没有展开更辩证的思考，导致没有把握住今天的威胁 ——没有对类似APT （高级可持续威胁等趋势）给予足够的预判和警 惕。Flame、Duqu、Gauss和Stuxnet ，它们既不是木马，不是蠕虫， 也不是僵尸网络，而是APT。我们最大的失误不是没有遏制昨天的威 胁，而是没有有效应对今天的威胁。 2006.我们预言了APT么？ 在2006年，我们是否对APT这种现象有所感知呢？答案是 “有”。 在 “后冷战”报告中，我们提出了一个词汇 “专有化” ，并提出 “经 济利益化和政治利益化促进木马向定向性、专有化发展；从传统的散