2006年12月6日,由公安部第一研究所、北京网络行业协会和英国贸易产业部贸易投资局共同主办的2006电子金融网络安全论坛在北京 贵宾楼饭店三层王府厅举行。网易科技频道对论坛做现场直播。
以下为北京江民科技有限公司副总裁戴硕发言。
主持人:谢谢Jean-Jacques,的确给了我们一个全球的视角,让我们知道政府在做什么。现在进程必须要加快,下一位发言是戴硕,北京江民科技有限公司副总裁,江民也是一个非常著名的杀毒软件的公司。
戴硕:大家好,我是北京江民新科技术有限公司研发部的戴硕。今天我发言的题目是“中国互联网用户网络银行交易的病毒防范”。我发言的主要内容会集中在中国网银木马的现状和发展,网银木马的常用技术,最后我还要介绍一下江民公司反病毒软件在防范网银木马方面的解决方案。
自从上世纪九十年代以来,中国各大银行纷纷退出了网络银行服务。网银交易这个新兴的金融业务形式以其高效、灵活、低成本、全天候服务的特点迅速聚集了大量的用户,并且吸引着更多未来的用户。
网络技术给网银服务带来传统银行服务无法媲美的优越性,同时也带来了一个对用户、对银行来说非常重要的问题,那就是安全性问题。这个观点在前面已经被很多次地重复过了。
网络银行和各种网上支付平台一直都是黑客和病毒作者们非常感兴趣的对象。随着近年来中国的网银用户数量突飞猛进,越来越多的中国黑客开始针对中国国内的各种在线金融服务发动攻击或编写木马。下面让我们看几个近年来发生在中国国内的网络银行犯罪的例子。
2004年4月,网银大盗的作者和传播者,利用登录网上银行密码窃取了4.8万现金。还有“证券大盗”,利用窃取股民的帐号密码,倒买倒卖价值股票,从中非法获利38.6万元,给受害股民造成了巨大损失。06年7月,新网银的作者以7000元价格把自己的木马卖给了一个在校中学生,中学生又买通其他的黑客,黑掉了国内某个知名门户网站的网页,把木马挂在了门户网站的网页上,结果感染了大量用户,成功盗取了数百个网银帐号,非法活力62500元。
上面这些都是近年来中国公安机关破获的网银犯罪的实例,当然远远不止这些,我只是举几个例子而已。
这说明国内有些网上交易平台确实存在着一些漏洞,而网银木马有时候能够的确能够抓住这些漏洞,给其制造者带来不法收益。
下面我来简单介绍一下目前中国网银用户上网交易的几种形式:
首先是最传统的帐号加密码的形式,在这种形式下用户自己拥有帐号和密码,通过输入正确的帐号和密码登录网上交易系统,最终完成整个网银交易。这种登录方式最大的优点就在于它的易用性,从登录到完成交易的整个过程都可以很方便地在网页浏览器中完成。但它的缺点也是很明显的,就是一旦黑客得到用户的帐号和密码,就可以以用户的身份登录网上银行,通过银行转帐或网上支付转帐等手段来窃取用户的资金。
第二种就是证书文件加密码的登录形式。这种登录形式和第一种相比,用证书文件代替了传统帐号,在安全性方面得到了大大提升。但它所带来的缺点就是易用性下降。因为证书文件不再是用户可以轻松记忆的东西,它必须保存在一个地方,或者用户必须随身携带。
还有一种就是USB Key加上密码的登录形式,因为数字安全证书是以硬盘文件的形式保存在磁盘上的,由于它是可以以硬盘文件的形式存在,所以木马仍然有机会窃取到证书文言。针对证书文件的弱点,USB Key是一种不可见的,而且也是不可观察的。所以网银木马无法用简单的方式复制USB Key的,目前这种登录形式,我们还没有发现有网银木马可以针对USB Key加密码的登录形式来盗取用户信息。
下面我们用一个简单表格把三种登录方式汇总和对比一下。
可以看到,这三种登录方式在安全性方面逐步提高,而在灵活易用和成本方面都有下降的趋势。其中前两种,帐号加密码和证书文件加密码的登录形式容易受到网银木马的攻击。接下来我们看一下中国网银木马的发展现状和趋势。
2003年4月,江民反病毒中心截获了国内第一支网银木马“网银大盗”,距今已经过去了两年半的时间,根据江民公司病毒预警系统的数据,我们得到了下面的统计图表:这个图表显示了从2004年8月一直到2006年10月这两年多用户感染各类网银木马及其变种的数量。
红色的统计数据线代表了网银木马的数量,可以看到,在2006年,差不多每月有160种左右的新的网银木马出现,而在2004年这个数字每个月大约只有10种,所以在两年多的时间内,网银木马的数量增长了16倍。
再来看一看被网银木马感染的用户数量。
这个数量增长更快了,在2004年,我们的预警系统只监测到大约60台用户计算机感染过网银木马,而在2005年这个数字增加到1100台,在2006年前10个月,这个数字是37000台。所以可以看到,被网银木马威胁的用户数量是在呈一种爆炸性的趋势增长。
刚才已经了解了网银木马的趋势,现在我想向大家简单介绍一下网银木马的常用技术。
我在这里列举了几种最常见的网银木马的技术。首先第一个就是虚假网站和服务器攻击。虚假网站和服务器攻击刚才已经被反复提过了,在这里我用一个简单的图示方式向大家解释一下。
虚假网站,也就是我们经常说的钓鱼网站主要就是黑客建立一个网易的网页,在这个恶意的网页上它可以做得非常像网络银行官方网站的样子,或者在这个页面上嵌入一些恶意的代码用来种植木马。完成这件事情之后,黑客就要诱使用户访问它自己的恶意网站,诱使的方式通常有很多种,可以是为它自己的网页申请一个酷似正规网站的域名,当用户因为发生拼写错误的时候,就很容易落到黑客的陷井。或者更直接一些,比如在国内,一个黑客只花几十块人民币就可以买到一个数据库,这个数据库里包含几百万个邮件地址,一个黑客可以很方便地向这几百万个邮件地址发送钓鱼邮件。这都是黑客诱骗客户的方法,无论用哪种方法,客户在假网站上输入的信息都会被黑客截获。
图示中下面的图就是黑客直接对一些网银交易系统或一些银行网站发动攻击。这种方式攻击的成功率并不大,但也不是没有。06年8月,在中国国内某个知名的证券网站还是被黑客入侵了,在这个证券网站上提供的所有证券交易、客户端软件都被捆绑上了网银木马。
下面我们来看第二种,键盘记录。这类木马一般会监视用户正在操作的窗口,如果发现用户正在登录某个网络银行系统,就会开始记录用户所有的键盘操作。这种方法是很通用也是很简单的。在用于获得网银登录,或者在线游戏的帐号密码方面,它的效果一直是很不错的。在04年的11月,国内曾经出现了一个网银大盗2木马,它是一个非常典型的例子,这个木马把当时国内几乎所有的在线网银系统都作为盗窃目标,而且在我们的模拟测试中只有一些提供了虚拟键盘技术的登录系统能够逃避这个木马的攻击。而绝大多数的登录系统在我们的模拟操作中,帐号和密码都被成功截取了。
下面我们来看嵌入浏览器执行。嵌入浏览器执行有时候也被叫做浏览器劫持,顾名思义,恶意软件通过自身的某段代码嵌入到浏览器当中,以浏览器的身份得到执行。因为在当前情况下,绝大多数网银交易都是通过网页浏览器进行的,所以一旦恶意代码能够进入到浏览器的进程中,以浏览器的身份运行,它就可以获得很多有用的信息。比如他可以获得用户当前访问的页面地址和页面内容,因为现在网银交易系统的数据传输大多经过了SLS加密,嵌入浏览器当中的代码可以在通过SLS加密之前截获它。
利用这种代码还可以改变用户正在访问的页面内容,比如它可以插入一段动态的脚本,这段脚本的内容就是把当前用户输入的帐号和密码输入出去,这些都是可以动态完成,发现他们的痕迹也不那么简单。
使用这种技术的木马我可以给大家举一个例子。网银大盗木马,网银大盗木马就是监视用户正在访问的页面,当他发现用户正在登录某个网银系统时,就会动态地把页面跳转到另外一个安全性稍差的网站,最终截获到用户的帐号和密码。
对于有些网银交易的过程,它只对用户的身份进行验证,而并没有对交易当中传输的数据进行加密。对于这种交易过程,嵌入浏览器执行的木马甚至可以完全地伪造一次虚假交易,因为只对用户身份进行验证而没有对交易过程中传输的数据进行验证加密的话,银行的服务器是无法知道给它发出转帐指令的到底是用户还是木马,一个木马完全可以等到用户验证成功之后开始工作,拦截用户的转帐工作,对数据进行篡改再发送出去。
刚才是浏览器劫持的技术,下一个是屏幕录像。
屏幕录像是指有些木马可以对用户在进行网银操作的整个过程进行录像,这里说的录像并不会产生体积非常大的视频文件,实际上这些木马只是在刚才介绍过的键盘记录这种技术的基础上额外增加记录了用户的鼠标坐标和当前的屏幕截图,通过这些信息,黑客就可以完全地回放出用户当初在登录系统、完成交易时访问了哪些页面,点击了哪些按纽以及他看到了什么东西。这样也就达到了录像的目的。
刚才提过的证券大盗就采用了这种技术,证券大盗会对当前的屏幕进行截屏,同时记录鼠标和键盘,它截的屏幕是二进制的黑白图象,这种图象体积非常小,易于网络传输,不容易被发现。但即使是这些黑白图象,再加上鼠标、键盘的数据,对于黑客来说,已经足够了。
下面是窃取数字证书。因为有些网银交易系统登录是依靠数字证书的,但是允许把数字证书保存成硬盘文件,这是一个安全隐患。因为一旦数字证书能够以文件形式存在,木马就有机会把文件盗取出来。
还是在2004年9月,国内出现了网银大盗3的几个变种,它的作者仔细观察了某个个人银行系统备份数字证书的整个流程,然后编写了木马。他的程序可以准确识别出整个备份数字证书流程的每一个步骤,记录必要的内容,最终再把备份好的数字证书文件偷取一份发送出去。根据这些盗取的数字证书文件和操作过程中的必要信息,可以让木马作者达到非法使用证书的目的。
最后我还想说一下伪装窗口。伪装窗口,顾名思义就是木马弹出一个酷似于正常登录界面的窗口来欺骗用户,关于伪装窗口的技术,在上午Sophos的周先生演讲中已经给大家做了非常详细的演示,木马做出来的伪装窗口可以达到以假乱真的地步,很少有用户能够察觉到自己输入密码的窗口是木马窗口而不是正常的浏览器界面,或者是正常的登录软件界面。这种技术,尤其是在2006年国内出现了一系列的木马,都采用了伪装窗口的技术。这种技术实践起来也是挺简单的,虽然技术听起来比较幼稚,但实际效果却是很好的。
上面就列举了网银木马的一些常用手段,在实际情况当中,大部分的网银木马是同时采用了多种技术来保证窃取过程的成功率和隐蔽性。
现在的网上银行业务还在不断普及深入和扩展,越来越多的新业务形式正在涌现,比如运行在智能手机上的掌上银行。木马作者们的跟进速度总是非常快,可以预见在今后更多、更老练、更有创造性的方法也会在不久的将来被新的网银木马所采用。
刚才介绍了网银木马的技术特征,下面我来向大家简单介绍一下反病毒软件在客户端网银交易中的安全解决方案。
首先我想介绍一下我们的公司,江民新科技术有限公司。
江民公司是中国最大的信息技术开发服务提供商之一,是亚洲反病毒协会的会员企业,研发和经营的产品主要涉及到单机版、网络版的反病毒软件,单机版、网络版的黑客防火墙,和运行在邮件服务器上的防病毒软件等等。江民杀毒软件KV系列产品是经过中国公安部门检测的一级品,同时通过了英国新海岸实验室针对反病毒软件的最高级LEVEL 2的认证,目前在中国,江民反病毒软件的用户已经达到4000多万。
刚才已经给大家介绍过了网银木马目前的种类是非常多的,而且采用的技术也是非常多样的,那么如何能够实现一套有效的安全解决方案呢?江民KV反病毒软件从网银木马的共性入手,实现了一套解决方案。
首先我们在杀毒软件当中实现了一套基于行为监控的主动防御机制,包括网银木马在内的许多恶意软件实际上都有一些共同行为,我在这里简单举一些网银木马的共同的技术特征,比如创建注册表建值,可以在系统启动的时候自动运行、创建自动加载的服务、依附于浏览器等常用进程启动、创建远程线程,把代码注入到IE进程,用于躲避防火墙,隐藏和保护自己等等。
针对这些木马共同的行为特征,江民反病毒软件对应的开发了一系列的系统监控模块,能够拦截并且阻止这些有害行为。下面我向大家展示一下主动防御机制的工作原理。
首先,恶意软件会做出一个恶意行为,因为江民杀毒软件拥有了像注册表监控、远程线程监控,系统监控和其他敏感监控等功能,所以恶意软件的敏感行为可以被江民杀毒软件拦截到。下一步的工作就是把这些敏感行为报告给用户,让用户加以选择,没有通过用户确认的行为是无法作用于系统的。同时在这个过程中,发出敏感行为的恶意程序样本还会被发送到江民的服务器当中,发送过来的样本经过反病毒工程师的分析,能够很快地制作升级病毒库,分发给所有用户。这就是基于行为监控主动防御机制简单的工作原理。
主动防御机制实际上是对抗木马的第一层保护,因为在我们的测试当中,绝大多数的木马都是无法通过主动防御机制这层保护的。实际上我们还是无法百分之百地保证能够屏蔽所有的木马,也就是说,我们不能忽视这样一个假设:有些非常高明的木马的确能够突破主动防御机制,还是可以成功盗取用户的隐私数据。针对这一点,我们在杀毒软件当中还开发了隐私数据保护的功能。用户利用这项功能可以设置属于自己的隐私数据库。因为如果恶意软件盗取了用户的隐私数据之后,它最终还是要把盗取的数据通过网络发送出去。在它发送的过程中,可以被江民公司隐私保护模块所截获。
首先把将要发送的数据和用户的个人隐私数据库在当中进行查询,一旦发现匹配(也就是用户的隐私数据将要通过网络发送出去时),这时候隐私保护模块会提示用户,供用户选择,如果用户拒绝发送,那么木马偷取到的隐私数据是无法被发送出去的。这就是隐私保护模块的工作原理。
下面我们给大家介绍的是江民密保,这是江民公司开发的一段独立的密码保护产品。实际上它是在原有的隐私保护模块的基础上开发完成的。
首先我们还是通过图示来了解一下它的工作流程。
恶意软件可能要发送一些隐私数据,发送隐私数据的行为可以被隐私保护模块所拦截,刚才我们已经演示过。在此基础上,我们还增加了对恶意软件尝试获取密码行为的监测。恶意软件尝试获取用户密码也是有一些共同的技术特征的,我们通过对这种行为进行监测,是利用系统监控模块和可疑分析模块来完成分析目的的,我们可以对获取数据行为的模块同样进行拦截和监控,并且把发送数据的行为都提示给用户,如果用户没有确认,一方面,用户的个人隐私不会被发送出去,另一方面,木马获取密码的行为也不会被允许。这是江民密保的工作原理。
刚才我给大家简单介绍了主动防御机制、隐私保护和江民密保,重点是在于防毒。下面我给大家讲讲详尽的杀毒能力和bootscan技术主要是侧重于对网银木马的清除。
现在越来越多的盗取网银密码软件采取了越来越多的防护技术,作为防毒软件想清除它不是那么容易的事情,针对这个我们开发了bootscan技术,我也想通过图示的方式帮助大家了解。
我们可以想象,一台计算机从最终启动到恶意软件运行起来的过程,首先是系统启动的过程,在这个过程中,传统的杀毒软件和恶意软件都是处于休眠状态,并没有被激活,指导Windows系统加载完毕,二者仍然是休眠状态,这时候加载完毕恶意软件就有机会自动运行,即使在恶意软件启动的过程中,传统的杀毒软件无法保证一定能在病毒加载之前抢先激活,所以在这阶段,双方仍然是休眠的状态,一直到最后,恶意软件加载完毕,在这个时候,传统的杀毒软件才可以确保自己已经启动了。
但是杀毒软件已经启动,恶意软件同样也启动,并且它的自我保护模块已经发挥了效用,在这个时段对恶意软件进行查杀,难度是相当大的,而且清除效果也不是很理想。
那么我们再看采用了bootscan技术以后的杀毒软件是什么情况。bootscan技术利用了抢占式启动的技术,可以在Windows系统没有完全加载完之前就首先激活杀毒软件,也就是在系统启动的过程中采用bootscan技术就可以率先激活杀毒软件,而这个时候绝大多数恶意软件还在休眠状态,没有被激活,而它的自我保护功能当然也就没有运行起来,在这个时段就可以很轻松地对恶意软件进行查杀。
接下来后面的恶意软件就已经被清除掉了,所以bootscan技术由于抢占式的启动顺序,可以对恶意软件达到非常好的清除效果。
最后我提几个对今后网银木马防范的建议。
首先就是加强网银用户的防范意识,这一点也已经被多次提过了。
第二点就是加强网银交易的安全性。网银交易的安全性不仅仅是网络银行系统的事情,也是安全公司的责任。反病毒厂商和银行之间如果能够通过OEM的合作方式达成一种合作,对加强网银交易的安全性会有更好的效果。
第三点就是加强政府部门、金融单位和安全厂商的紧密合作。因为在防范网银木马的方面,三方所拥有的资源和各自的职能各不相同,同时又形成了很好的互补,如果可以加强三方合作,充分利用彼此资源,可以事半功倍,更加有效地抑制网银木马,创造更加健康繁荣的网银交易环境。
好的,我的发言就到这儿。
