随着互联网的高速发展,网络安全性已经成为了全球性讨论的热门问题。近期,腾讯电脑管家发现,今年由挂马导致的网络安全问题也持续活跃,运营商客户端、软件客户端和浏览器等多款巨量级软件都曾被陆续挂马,给网民信息和财产安全带来严重威胁。据腾讯电脑管家数据显示,2016年度整个挂马攻击呈持续趋势,并且不时会出现小高峰爆发,仅2016年4月10日当天,腾讯电脑管家拦截到的挂马攻击次数就高达10万余次。
挂马攻击所引发的安全事件,引起了越来越多的安全行业和专家的注意,也引起了社会民众的广泛关注。针对当前新型挂马手段,腾讯电脑管家持续通过安全技术升级、安全技术创新保护用户网络、电脑安全,全新升级12.0版本,增强了云主防及bootclean清除技术、rootkit通杀、系统急救箱四大安全特性的查杀能力,通过全方位“立体防护”,保障网民安全。
挂马攻击大规模出现 两大手法躲避杀软“追击”
挂马,即木马制作者通过各种方式,把木马挂靠在一段正常的代码中,并利用漏洞对用户电脑发动攻击。对普通用户而言,由于木马伪装成网页中的页面元素,只要用户打开该网页,木马便会自动执行。对含有网页浏览功能的软件客户端而言,如果其访问的网页被挂马,则会致使该客户端被挂马,并在后台反复执行挂马程序。
据腾讯电脑管家监控数据显示,自2016年3月开始,挂马行为持续活跃,除了以往网页挂马的手段,客户端挂马攻击持续爆发,被挂马的软件多达数十款,其中不乏装机量庞大的知名软件客户端,涉及音乐软件、视频播放器、第三方外挂等。用户电脑感染挂马后,会导致电脑无故弹窗广告、桌面自主安装流氓软件,甚至弹窗敲诈勒索信息。
进入9月以来,挂马攻击则开始通过频繁变种,与安全软件展开激烈对抗,目前,持续活跃的软件挂马对抗主要有两大手法:变化文件名和加载方式,从而逃避安全软件的检测。
(8月底至9月初网页挂马活跃图)
据了解,一般客户端挂马会使用文件名对抗的手段,当用户打开网页的时候调用”wscript.exe“文件来加载恶意脚本,下载恶意木马并运行,来进一步执行更多的恶意行为。”wscript.exe“改名为”wscript.com“,随机又改名”为wscript.pif“。通过不断变化木马文件的名称,试图逃避安全软件的检测。
(”wscript.exe“文件的改名行为)
当不法分子发现即使改名也依然无法躲过安全软件的拦截后,便开始尝试利用其他加载方式运行恶意木马,常见的有”powershell“和”wmic.exe“两种方式。”Powershell “是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境,由于其易用性、可扩展性和可与.net无缝结合的特点,使得“powershell”越来越受程序员的喜爱,但是也正因为其强大功能, “powershell”也成为了黑客们拿来利用攻击的平台。“wmic.exe”则是比cmd更强大的命令行,不但可以管理本地计算机,而且还可以管理同一Windows域内的所有远程计算机(需要必要的权限),而被管理的远程计算机不需要事先安装WMIC,只需要支持WMI即可。
据《2016中国网民权益保护调查报告》数据显示,自2015年下半年至2016年上半年,我国互联网用户因遭受网络攻击,导致个人重要信息和隐私的泄露,造成的直接经济损失高达915亿元人民币。当前,面对网络安全威胁行为客观存在的现实,首要的就是通过安全监控和防护手段来降低风险,同时改善网民和相关行业的网站安全意识,加强网络安全防护水平也尤为重要。
腾讯电脑管家升级12.0 云主防 三大全新引擎护航网络安全
今年9月1日,腾讯电脑管家正式发布12.0版本。新版本不仅新增了更加便捷实用的管理工具;在用户最为关注的病毒查杀和安全防护方面也下足了工夫,增强了云主防及bootclean清除技术、rootkit通杀、系统急救箱四大安全特性的查杀能力。为了应对复杂多变的网络安全威胁,新版本除了引入腾讯电脑管家自身能力,还得到了腾讯安全联合实验室以及腾讯安全的实力支撑。针对挂马行为,腾讯电脑管家12.0能始终保持拦截。
在腾讯电脑管家12.0版本中,在传统实时主防功能的基础上,引入新属性“文件身份标识”,同时增加云端实时规则控制系统。用户计算机上出现行为触发主防监控点后,腾讯电脑管家云主防将结合文件引擎结果、文件身份标识、云端实时规则三重纬度,在云端智能判断该行为是否异常并下发相应解决方案。
而病毒木马查杀“三利剑”——bootclean清除技术、rootkit通杀、系统急救箱,则主要针对电脑中存在的顽固病毒、深度隐藏病毒而开发的三项独特查杀技术。
由于一些顽固电脑病毒通常会针对杀软使用五花八门的文件保护方案,常规病毒文件删除技术往往不能彻底清理病毒,逐一进行技术对抗成本又很高。针对这类情况,管家在常规对抗技术积累的基础上,重新上线一套开关机抢杀专利技术——bootclean清除技术、。通过在系统关机时记录关键信息,在下次系统启动的早期进行处理,结合rootkit通杀技术的检测能力,能够有效的查杀处理掉系统中rootkit病毒。
12.0版本rootkit通杀技术的检测能力获得进一步增强。常规情况下杀软使用各种专用检测方案逐一进行针对性处理,虽然稳定性和处理能力不错,但是通用性较差,每一类rootkit需要开发其专用技术方案。腾讯电脑管家在总结各种rootkit隐藏技术的基础上,业内首创一种基于检测”Rootkit隐藏技术“的通用方案,可以覆盖数十种rootkit使用的隐藏技术,从检测到一种已知rootkit升级检测到一类同样技术的rootkit。
而系统急救箱的核心功能则是“强力查杀顽固病毒木马”。 腾讯电脑管家产品负责人周航介绍称,电脑系统运行时,顽固病毒木马会借助系统本身的防护能力来自我保护,急救箱通过抢先在系统前启动,以达到查杀顽固病毒木马的目的。
可以说,12.0版本安全实力的提升,不但是给用户电脑提升安全保护能力,更重要的是在病毒木马肆虐、网络安全威胁样式多变的新形势下,腾讯电脑管家在通过新技术创新,结合TAV杀毒引擎、哈勃分析平台、安全舆情跟进处理机制,为用户打造了一个新的个人电脑防御体系,将更加有力地保障亿万网民的网络安全。
相关文章