本文原作者是趨勢(shì)的一個(gè)朋友，在征得他同意的基礎(chǔ)上，拿來(lái)轉(zhuǎn)載

Web安全innovation

由于最近參加了病毒和 Web Threat 的基礎(chǔ)培訓(xùn)，對(duì)一些常規(guī)的惡意軟件或者網(wǎng)頁(yè)的原理和行為有了粗淺的認(rèn)識(shí)。經(jīng)過(guò)這次培訓(xùn)，心里有個(gè)想法就是：惡意軟件和網(wǎng)頁(yè)的作者是進(jìn)攻者，安全廠商是被動(dòng)防護(hù)者，而且一暗一明，攻守之勢(shì)一直沒(méi)有太大的改變，結(jié)果就是無(wú)盡的病毒，無(wú)窮的 pattern ， “ 無(wú)力 ” 的防御。張總有言：策略是致勝的關(guān)鍵。我覺(jué)得我們安全廠商是不是應(yīng)該在策略上作出些根本的改變呢？我冥思苦想，夜不能寐，心里隱隱約約形成了一個(gè)大致的想法，可能非常的幼稚，以致貽笑大方，也可能 “ 英雄 ” 所見(jiàn)略同，引君莞爾一笑。我是個(gè)行外人士，不過(guò)東坡居士有詩(shī)云：不識(shí)廬山真面目，只緣身在此山中。這就是說(shuō)：外行真的有可能解決內(nèi)行不能解決的問(wèn)題，因?yàn)榻疱N子類的反模式會(huì)干擾人的創(chuàng)新能力。在此聲明沒(méi)有參考已有的解決方案，閑話少說(shuō)，下面我就開(kāi)門見(jiàn)山，直搗黃龍了。

我總的解決思路就是孔夫子的一句話稍微變一下：忽其言而察其行。就是說(shuō)我先忽視你網(wǎng)頁(yè)的 “ 言 ” ：源代碼，而是重點(diǎn)觀察你的行，給網(wǎng)頁(yè)放肆執(zhí)行的機(jī)會(huì)，然后詳細(xì)的觀察它造成的后果。

假設(shè)有個(gè)大型企業(yè)，里面有個(gè)用戶想訪問(wèn)一個(gè)網(wǎng)頁(yè)，企業(yè)本地 IWSVA 會(huì)到本地緩存查詢，如果在黑名單里，馬上拒絕，否則去趨勢(shì)的云端查詢，如果得知是不安全的， IWSVA 馬上拒絕。如果到這里還沒(méi)有被拒絕， IWSVA 會(huì)根絕用戶的操作系統(tǒng)的類型從虛擬機(jī)或者就是實(shí)體機(jī)陣列中（因?yàn)橛行┎《緯?huì)監(jiān)測(cè)是否為虛擬機(jī)，若安全等級(jí)要求高，則建議采取實(shí)體機(jī)）動(dòng)態(tài)選取一個(gè)空閑的而且 OS 類型跟用戶一樣的機(jī)器，而且這些機(jī)器的 OS 沒(méi)有安裝任何的 patch ，安全策略選擇最低，所有瀏覽器的安全等級(jí)也選擇最低，沒(méi)有安裝任何 AV ，反正就是人見(jiàn)人欺的那種，而且一些系統(tǒng)本身的 routine ， prefetch 能關(guān)的都給關(guān)掉。但是這些操作系統(tǒng)的內(nèi)核是被修改過(guò)的，分為虛模式和實(shí)模式 2 種。虛模式狀態(tài)下，文件或者注冊(cè)表新增，修改，刪除，讀取看起來(lái)是正常返回的，但是其實(shí)會(huì)被導(dǎo)向到一個(gè)遠(yuǎn)端的文件系統(tǒng)（ NAS ， Hadoop 等）的。 具體操作如下：

● 新增： 遠(yuǎn)端文件系統(tǒng)上會(huì)新增文件或者注冊(cè)表?xiàng)l目，而且記錄創(chuàng)建發(fā)起的進(jìn)程信息，時(shí)間戳。在本地文件和遠(yuǎn)端文件映射表中記錄一個(gè)條目，映射表也存在遠(yuǎn)端。

● 修改：遠(yuǎn)端文件系統(tǒng)上會(huì)遠(yuǎn)端文件系統(tǒng)上會(huì)新增文件記錄原文件或原注冊(cè)表項(xiàng)，修改后的文件，修改發(fā)起的進(jìn)程信息，時(shí)間戳

● 刪除： 遠(yuǎn)端文件系統(tǒng)上的文件或者注冊(cè)表項(xiàng)不會(huì)被真正刪除，會(huì)記錄刪除標(biāo)志，刪除發(fā)起進(jìn)程信息，時(shí)間戳

● 讀取： 先查看映射表，如果讀取的文件或注冊(cè)表項(xiàng)在映射表中存在的并且沒(méi)有刪除標(biāo)志，則讀取遠(yuǎn)端的文件，如果讀取的文件或注冊(cè)表項(xiàng)在映射表中存在的并且如果讀取的文件或注冊(cè)表項(xiàng)在映射表中存在的并且有刪除標(biāo)志，則報(bào)告 IO 錯(cuò)誤，否則讀取本地文件或者注冊(cè)表。

在實(shí)模式下，則上述操作都操作本地文件。

在簡(jiǎn)要描敘了模擬運(yùn)行機(jī)器 OS 的 2 種模式后，下面輪到網(wǎng)頁(yè)真正運(yùn)行了。 IWSVAI 會(huì)根據(jù)用戶的 OS 類型和 Agent 類型，選擇一臺(tái)模擬機(jī)并且打開(kāi)相應(yīng)的瀏覽器在虛模式下運(yùn)行，所以這時(shí)候網(wǎng)頁(yè)運(yùn)行產(chǎn)生的結(jié)果都會(huì)在遠(yuǎn)端的文件系統(tǒng)中被記錄。同時(shí)這臺(tái)模擬機(jī)通過(guò)網(wǎng)關(guān)發(fā)送或者接受數(shù)據(jù)的記錄也會(huì)被攔截記錄。 IWSVAI 會(huì)通過(guò) RPC 或者固定端口向模擬機(jī)請(qǐng)求進(jìn)程信息和 service 信息，模擬機(jī)處理這些請(qǐng)求時(shí)是以實(shí)模式運(yùn)行的。網(wǎng)頁(yè)運(yùn)行觸發(fā)的行為類型：比如說(shuō)下載 PE 文件，創(chuàng)建新進(jìn)程，創(chuàng)建 service ，新增 autorun 項(xiàng)，發(fā)送本機(jī)系統(tǒng)信息等，每項(xiàng)行為都有加權(quán)分，加權(quán)分相加的總分越高，說(shuō)明網(wǎng)頁(yè)越危險(xiǎn)。網(wǎng)頁(yè)執(zhí)行觸發(fā)的行為分析模塊會(huì)分析網(wǎng)頁(yè)的行為，會(huì)計(jì)算出一個(gè)加權(quán)總分。根據(jù)加權(quán)總分，給出安全，可疑，危險(xiǎn)，致命等警告等級(jí)，危險(xiǎn)和致命的網(wǎng)頁(yè)將直接拒絕用戶訪問(wèn)，同時(shí)更新客戶本地的黑名單 cache 并將可疑，危險(xiǎn)，致命的網(wǎng)頁(yè) URL 以及模擬運(yùn)行中生成文件和網(wǎng)絡(luò)活動(dòng)信息報(bào)告給云端。當(dāng)然行為加權(quán)分會(huì)根據(jù)云端的統(tǒng)計(jì)數(shù)據(jù)會(huì)作出相應(yīng)的調(diào)整。云端的 Crawler 會(huì)馬上爬取這些惡意的網(wǎng)頁(yè)，并結(jié)合客戶端傳送過(guò)來(lái)的模擬執(zhí)行過(guò)程中產(chǎn)生的資料，工程師分析惡意代碼的原理，找出系統(tǒng)漏洞并給 OS 廠商或者瀏覽器軟件廠商 patch 建議。

當(dāng)然惡意網(wǎng)頁(yè)可能會(huì)在頁(yè)面的 script 中故意推遲惡意行為，對(duì)于這種情況，如果頁(yè)面加載完成后，瀏覽器的 javascript 引擎中還有活動(dòng)或者掛起的 javascript 線程存在時(shí)，這時(shí)候 SA 模塊就要對(duì) Script 進(jìn)行分析給出判定。

如果判定了一個(gè)網(wǎng)頁(yè)是惡意網(wǎng)頁(yè)，則先切斷模擬機(jī)跟遠(yuǎn)端文件系統(tǒng)的連接，然后 reboot 系統(tǒng) 。

主要的 Concern ：

性能：由于模擬機(jī)執(zhí)行惡意網(wǎng)頁(yè)后需要 reboot 這點(diǎn)比較影響效率，但是由于惡意網(wǎng)頁(yè)會(huì)首先在本地 cache 和云端查詢被過(guò)濾，惡意網(wǎng)頁(yè)被任意客戶僅模擬執(zhí)行一次，整個(gè)趨勢(shì)的用戶都能得到防護(hù)。

流程圖如下：

Web安全innovation