协调根除恶意软件

  • Article

在当下,作为一个行业,我们能够非常有效地打击恶意软件系列,但是却很难将其根除。相反,这些死灰复燃的恶意软件系列,给我们的客户造成了一次又一次的严重威胁。

要改变这种状况,我们就需要改变工作方式。

如果考虑不周,效果可能会适得其反。反恶意软件生态系统包含许多强大的群体:安全供应商、服务提供商、CERT、反欺诈部门和执法部门。每个群体都会利用自己的优势和方法来保护其客户和委托人。每个群体都宣称在其努力下取得了可喜的胜利,但是恶意软件系列仍具有明显的优势。不管每一个反恶意软件生态系统的成员如何努力,他们目前的覆盖面毕竟有限。因此,我们的对手只需稍稍将“战场”转移到我们的覆盖范围之外,即可重整旗鼓。例如,假设一个广告网络识别出了一个点击欺诈攻击并将其关闭。对于该网络及其广告客户而言,这非常有意义。但是攻击者只需转而攻击其他广告网络即可实现同样的目的。此时,攻击者的攻击也许会更为有效,因为他们已经了解到了只需采用更加灵活的方法持续不断的攻击即可达到目的。

如果我们不合作,那么对于恶意软件编写者而言,我们的优势也会变得不堪一击。他们会了解我们工具的能力范围,进而绕开我们每个人。尽管我们正在打击他们,但是我们也使他们变得更加灵活、高效。

如果我们要对其进行有效地打击并保护我们的客户和委托人,我们就需要根除恶意软件系列。为实现此目的,我们必须协调我们的集体防御范围和覆盖面,让攻击者无隙可乘。当然,目前行业内已经开展了一些协调工作。反恶意软件供应商交换了恶意软件样本、流行范围信息,甚至是干净的文件元数据。他们针对感染设备和瓦解方法与 CERT、ISP 及执法部门展开合作。但是这还远远不够:看一看被我们检测到的目前还在流行的恶意病毒家族的特征时效,我们并没有将其根除。


1 恶意软件遭遇微软实时保护产品 2013 9 1 – 2014 1 25

若要更加密切地协作以根除每种恶意软件系列,就需要建立更为强大的行业合作伙伴关系。还需要与金融机构、支付网络、大型互联网服务提供商以及软件捆绑程序开发人员建立新型合作关系。每种合作伙伴关系都将提高我们所建立的联合战线的集体防御能力,从而降低攻击者进行规避和盈利的能力。

密切协作是恶意软件保护行业的自然发展规律,并且这种协作已经开始。例如,微软与隶属于欧洲刑警组织的欧洲网络犯罪中心 (EC3)、联邦调查局、一些 ISP 以及 A10 Networks 合作防御 Sirefef/ZeroAccess 僵尸网络,对其连续打击数天,效果远远超出预期。Sirefef 编写者面对旨在封杀其 IP 地址而进行的广泛协作,不得不乖乖地举旗投降。虽然目前他们还没有被彻底根除,但可以肯定的是他们的末日很快就要到了。

尽管有效地打击了恶意软件编写者,但是这些合作基本上都是一次性的。我们还有数百个活跃的恶意软件系列需要根除,因此我们需要一种能够形成规模的可重复的合作模式。

我们已经讨论了微软以客户为中心的方法的范围,现在我们来共享一些恶意软件的遥测信息。我们希望它能够走得更远。我们需要建立一种结构,通过此结构可以轻松地横跨整个反恶意软件生态系统,进行协调活动并共享更多类型的
信息。

现在是实现这一目标的时候了。我们需要反恶意软件生态系统合作伙伴坚定不移地共同参与协调活动,从而根除恶意软件系列。以下是合作伙伴如何通过其工具、覆盖面和范围提供帮助的一些例子:

  • 安全供应商: 通过共享检测方法、恶意软件行为以及解包技术,当恶意软件系列出现在网络连接的终端和服务器上时,供应商可以更快速地识别并阻止它们。
  • 金融机构、在线搜索和广告企业: 借助更完善的欺诈行为识别,这些组织让妄想非法获利的恶意软件编写者无隙可乘。
  • CERT ISP 借助审核清单,CERT 和 ISP 可以阻止并瓦解部署站点、
    命令及控制服务器。
  • 执法部门: 凭借相关的证据,执法部门可以起诉操纵恶意软件的人员和
    组织。

2 反恶意软件生态系统的协调根除恶意软件

当前的挑战在于如何建立一种合作方式,使我们可以有效且持久的进行合作。微软将致力于推动此行业向前不断发展。我们会首先审视自己能够为此类团体做出的贡献,然后要求我们的反恶意软件生态系统合作伙伴做出同样的贡献。

本年度春夏将举办数次行业活动。例如,2014 年 2 月在旧金山召开的 RSA
大会、在新加坡召开的 DCC 大会、2014 年 3 月在北京召开的 PCSL/IEEE Malware Conference (PCSL/IEEE 恶意软件大会)、2014 年 5 月在佛罗里达召开的 CARO Workshop(CARO 研讨会),以及 2014 年 6 月在波士顿举办的 FIRST 活动。这些活动将是精心构思一种合作框架以尽快实现协调根除恶意软件的大好时机。微软将在这些活动中主持相关讨论以达成上述目标。*

我们期待您提出反馈,并针对协调根除恶意软件开展持续讨论。

Dennis Batchelder
MMPC

* 要参与这些活动中的讨论 请联系我们 电子邮件地址为 cme-invite@microsoft.com