病毒，蠕虫及木马病毒是自我传播的恶意程序-Microsoft.ppt

ISA与Antigen如何防护你的Exchange服务器乃至你的协作架构 今天讨论的题目 针对邮件系统的威胁 病毒, 蠕虫, 木马 垃圾邮件, 钓鱼程序 将来可能会有的一些情况 该如何设计清洁的邮件环境 多层面环境周边防御体系 威胁事件的控制*？ 补救措施*？ 今天不讨论的话题 产品介绍或比较 Exchange 管理 只谈邮件, 不谈协作 Microsoft + Sybari 今日话题 对邮件系统的威胁 病毒, 蠕虫, 木马 垃圾邮件, 钓鱼程序 将来可能会有的一些情况 该如何设计清洁的邮件环境 多层面环境周边防御体系 威胁事件的控制*？ 善后措施*？ 病毒，蠕虫及木马 病毒是自我传播的恶意程序，他寄生与“好”的文件/数据中 蠕虫是自我传播的恶意程序，它不寄生于文件数据中 可能寄生于自身 或 根本就不寄生 木马是一种不进行自我传播的恶意程序 恶意程序具备的属性 执行平台 目标搜寻 传播媒介 激活搜寻程式 自我传播技术 后门*? 执行平台 指令格式 API请求 执行平台的类型 机器码 (Win32+Intel 32-bit) 字节码 (Java2+JVM) 脚本 (VBA) 多平台恶意程序? 目前少见 目标 Solaris 和 Windows 目标搜索 收集目标地址 基于传播程式 邮件地址, IP 地址, 等. 探寻目标执行平台 探寻激活程式 避开入侵监测系统 复杂的网络轮询*？ 搜集本地地址 使用搜索引擎 传播介质 传播介质依靠一种或多种激活方法 所有数据传输方法都可能是潜在的传播介质 目前最常见的传播介质 电子邮件和 IM 文件共享 可利用的 IP 协议 以前蠕虫留下的后门 激活方法 利用软件 实现缺陷（拙劣的编码） 设计缺陷（拙劣的设想） 配置错误（拙劣的设想） 利用人员 社会工程学*？ 自保护 避免检测 目标、传播、执行 隐秘行动 加密；激活时解密 在激活后隐藏 (Rootkit*？) 多形 改变外表 功能一致 变性 改变外部 改变功能 效果 故意破坏 SMTP 传播 分布式 DoS 代理 (zombie) 后门 (botnet) 可编程 DDoS 代理 发送垃圾邮件 流量嗅探 / 键盘记录 启动新的恶意软件 下载间谍软件 / 广告软件 蠕虫和病毒爆发 病毒爆发频率加快 病毒爆发强度缺乏规律 要降低频率，必须减少病毒编写者… 不可能。 要降低强度，必须减少暴露的机器… 也许。 要缩短爆发持续时间，必须拥有计划。检测、隔离、修复! 超级蠕虫？ 最糟糕的情境 多平台 使用“零天”利用的多重利用 最佳传播 (Warhol/Flash) 通过 botnet 分发，预先设定目标 多形 变性 内核层隐秘行动 高功能后门效果 今天讨论的题目 针对邮件系统的威胁 病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向 邮件保护设计 层式周边防御 事故抑制 修复策略 垃圾邮件 预计所有 Internet 电子邮件中有 70% 到 75% 是未经请求的。  之所以存在垃圾邮件，是因为它有作用！虽然响应率低达 0.001%（100,000 中有 1 个），但仍有商业价值。 垃圾邮件无法完全消灭 无法实现完美的分类 在今后的 24 个月内，垃圾邮件可能将达到饱和。响应率正在下降，因为： 防垃圾邮件技术的改进 回报减少 垃圾邮件饱和 钓鱼程序 伪装成来自“高价值”网站合法消息的电子邮件 目的在于收集有用信息，通常用于身份盗窃 虚假的发送者地址 将 URL 转到攻击者网站 依靠社会工程学 钓鱼 今天讨论的题目 针对邮件系统的威胁 病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向 邮件保护设计 层式周边防御 事故抑制 修复策略 未来的方向 恶意软件用户（script kiddie 等）使编写者避免法律责任 病毒和蠕虫将大量使用可扩展的后门和 rootkit 这将导致更多的 botnet，而且每个 botnet 具有更多节点 未来的方向 当广泛使用加密的邮件（例如 S/MIME）后，恶意软件将使用它来躲过传输扫描。 当广泛使用权利管理后，恶意软件也将尝试利用这个功能。可能通过内容过期删除传输痕迹。 今天讨论的题目 针对邮件系统的威胁 病毒、蠕虫、木马 垃圾邮件、钓鱼程序 恶意软件的未来方向 邮件保护设计 层式周边防御 事故抑制 修复策略 周边防御 定义周边 网关设备 远程设备 所有最终用户设备 目标 阻止目标发现的企图 阻止潜伏状态恶意软件的传播 阻止垃圾邮件和不适宜的电子邮件 层式周边防御 有序的层式防御 考虑的因素 层的检测频率 平均流量降低 平均检测速度 流量方向（入站、出站） 示例：防垃圾邮件 检测频率高 (50%) 大幅度流量降低 防垃圾邮件中度 CPU 占用 仅入站流量 有序的层式防御 连接筛选器总是首当