木马雪崩到APT的关联与必然——对2006年一次技术报告的反思

木马雪崩到APT的关联与必然

——对2006年一次技术报告的反思

安天实验室 江海客

注：本文刊发于2013年《中国信息安全》1月刊，是笔者在第一届全国网络与信息安全防护峰会（XDEF，武汉大学,2012）上的演讲整理稿，刊发时有删节。

温故.2006

——这是一个充满预言、谶语和诅咒的年代，这是一个人人皆神、诸佛俱死的年代，我自己也曾因某个只言片语的应验，找到先知先觉的感觉，但推敲起来才发觉自己的狂悖。因此，今天我想认真回顾一篇2006年所做的技术报告，进行一场反思。

   

2006年对于整个反病毒的发展来说是一个特殊的年份。病毒从最早的狭义的感染式恶意代码的定义，已经开始成为涵盖了蠕虫、木马的统称，而蠕虫被作为研究和产业热点的关注度也已经开始下降，木马也开始呈现爆炸式的增长趋势。2006年全年产生的恶意代码总量比1986年到2005年这20年间所产生的恶意代码总数还要多。

2006年9月25日，笔者在武汉大学做了题为《后冷战时代的病毒捕获体制》的报告，其技术关键词为“木马、蜜罐、旁路捕获、未知检测…. ”，报告的观点为“当前木马与AV之间的对抗已经从辨识对抗、查杀对抗进入到体系对抗阶段”， 笔者称之为“‘后冷战’时代”。今天的报告正是从对此的反思开始，因此称其为“温故2006”。

六年前我们认为：木马数量呈几何级数增长的趋势，而溢出技术、驱动技术、流文件技术及信息伪装技术等众多黑客技术都开始被应用到木马程序编写中。木马的发展对反病毒的挑战表现于：数量失控、黑客技术、伪装技术和专有性应用等。

该报告得出“木马动摇了反病毒体系的根基”的结论：传统AV技术的根本链路是编制>>流行>>捕获>>处理，而捕获才是AV的根基。AV的机理是以样本满足一定的流行范围或公开发布为基础，立足于后发式的一对一处理。在此情况下，全面捕获已经趋近不可能，分析处理强度已趋近不收敛，必须有全新的思路作补充。

此前，我们还提交了一份题为《“中国信息安全将崩盘”于木马的结论》的安天内部分析报告。时隔六年，我们的结论是否得到验证呢？

迷失.2012

——2012，一个让思想者茫然，行动者迷失的年份。

2000~2012数据回溯

我们分别选取了2000年10月24日、2006年11月10日、2012年11月27日三个时间节点的恶意代码分类数量统计，用以对比分析恶意代码的发展趋势。为了保证数据的可信度，我们并未采用己方数据，而是采用了消重后的某国际知名厂商的病毒库中的病毒名称列表。

图 1 ：选取2000、2006、2012三个时间点的恶意代码累计总量增长示意图

图 2：2000、2006、2012三个时间点的恶意代码分类比例构成

以上数据显示，从2006年到2012年间出现的恶意代码中，比例最大的显然是Trojan。其数量从2006年的8.4万余种增长到2012年的726万余种，而其他类型的恶意代码尽管均有不同程度的增长，但却完全被木马的增长掩盖掉了。那么我们的“木马崩盘”的预言是正确的么？

失效的预言

确实存在木马数量爆炸式的增长并未得到遏制的事实。但我们不能不面对两个问题：

第一，信息安全整体崩盘了吗？没有。网银、网游等产业依然在快速成长，用户的安全体验实