ANTI云查杀的病毒模型分析与对策.pdf

解密云查杀APT模型分析与对策 • 营口银行：李立中 id：kvllz 写在开篇前的忠告 1、永远不要将公有数据加密，再强壮 的算法也抵御不了彩虹表的攻击。 2、所有电擦写升级的硬件上应该使用 开关或跳线，并保障非升级状态开关 是关闭的，这是防硬件ROOTKIT的合理 解决方案。 3、关键的数据应该使用黑盒技术彻底 阻断拖库的可能。 感谢您的关注 4、双平台理论可以解决很多安全场景 的实现问题。 Page 3 内容纲要 APT的一些说明和看法 云查杀的原理分析 躲避云查杀的计划 肉山大魔王计划模型及对策 Page 4 一、APT的一些说明和看法 APT目前的定义 APT攻击的原始名称 APT的攻击要点和起点 Page 5 一、APT的一些说明和看法 APT目前的定义 Advanced Persistent Threat Page 6 一、APT的一些说明和看法 APT攻击的原始名称 广义的间谍：是指从事秘密侦探工作的人，从敌对方或竞争对手那里刺探 机密情报或是进行破坏活动，以此来使其所效力的一方有利。又称特务、密探。 Page 7 一、APT的一些说明和看法 APT的攻击起点和要点 传统的攻击入口：(七宗罪，the seven deadlysins) ： 饕餮(Gluttony)、贪婪(Greed)、懒惰(Sloth)、淫欲 (Lust)、嫉妒(Envy)、暴怒(Wrath)、傲慢(Pride) 要点：感情投资 APT的攻击入口：信箱（EMAIL）、门户（WEB）、管理 平台（SSH、远程桌面等等）、系统漏洞、网络监听 要点：找到0day Page 8 二、云查杀的原理分析 云查杀基于纯白名单技术 云查杀基于网络上传 云查杀上传文件类型有限 Page 9 二、云查杀的原理分析 云查杀基于纯白名单技术 基本原理：上传MD5值进行数 据库数据匹配，如果MD5存在 并在白名单内则认为可信。在 黑名单内则是病毒，如果没有 则上传文件在云端进行分析。 Page 10 二、云查杀的原理分析 云查杀基于网络上传 通过网络对特定云服务器上传 MD5和未知的EXE文件和其他各种 可执行文件。需要连接云服务器、 需要有足够的带宽、需要上传时 间。 Page 11 二、云查杀的原理分析 云查杀上传文件类型有限 EXE、DLL、COM、SCR、BAT、VBS、 office系列文档、PDF文档等等所 有能触发程序运行的相关文件。 云查杀不会传未知的文件类