KCon黑客大会2017：腾讯安全反病毒实验室分享抗击“暗云III”实录

　　8月26日-27日，由知道创宇主办的KCon黑客大会2017在北京举行，本届大会以“洞见未来”为主题，汇聚了国内外一流白帽黑客和安全研究员，分享探讨安全行业最前沿的技术观点。在为期两天的议程中里，大会带来了共计18项业内顶尖安全议题，针对安全行业发展现状及趋势进行了全面且深入的探讨。腾讯安全积极支持本次大会举办，由腾讯安全科恩实验室的负责人吴石和腾讯安全玄武实验室的负责人于旸(TK教主)担任大会专家顾问团队。

　　本次KCon黑客大会2017中，腾讯安全团队分享了关于移动支付安全和“暗云III”木马技术分析两大议题。其中，腾讯安全反病毒实验室成员耿琛在《暗云III——史上最复杂木马的探索之旅》演讲中重点介绍了暗云系列木马的发展过程，并与在场的安全专家就其影响及解决方案展开讨论。而受益于腾讯安全在反病毒领域的成绩，腾讯安全反病毒实验室旗下的哈勃分析系统，继Black Hat Aisa2017(亚洲黑帽大会)之后，再度入选KCon黑客大会“兵器谱”。

　　全面狙击“暗云III”病毒打造全方位防御体系

　　今年5月，腾讯电脑管家检测发现，“暗云III”病毒通过下载站大规模传播，传播量级逾百万，被感染的机器将沦为黑客远程控制的“肉鸡”，或面临个人信息遭窃的威胁。对此，腾讯电脑管家率先发布安全警报，并及时推出专杀工具帮助用户有效止损。

　　耿琛指出，暗云系列木马是目前已知复杂度最高、感染用户数量最大的木马之一。通过不断变种升级屡次对用户下手，腾讯安全团队已经与其多次过招，对其传播路径、作恶手法有深入的了解。2015年，第一代“暗云”木马来势汹汹，用户感染后即使重装、格式化硬盘也无法清除。由于该病毒还兼容X86、X64两种版本的XP、Win7等操作系统，影响范围十分广泛，曾有数以百万的计算机遭受感染。对此，腾讯电脑管家第一时间推出暗云木马专杀工具，可准确检测和查杀暗云系列木马。

　　截至今年5月，暗云木马已经演化至第三代。暗云III木马发起的大规模的DDoS攻击，通过感染磁盘MBR实现开机启动，单个IP遭受的攻击流量达到650G。对此，腾讯电脑管家、金山、知道创宇、腾讯云等国内安全厂商及云服务商积极响应，其中，腾讯电脑管家率先检测到“暗云III”病毒活动，及发布安全预警并推出专杀工具查杀病毒。同时，向CNCERT、CERNET等主管部门递送了技术分析报告，率先拉响了行业协同应对暗云III病毒的安全警报，避免造成大规模的病毒攻击。

　　耿琛强调，腾讯电脑管家通过联合腾讯云率先布局云端防御，腾讯云大禹系统专业抗D(抵抗DDos攻击)已布局防御云端服务器安全，腾讯电脑管家保障用户终端电脑安全，构建云加端的坚实防御体系。

　　哈勃分析系统连续入选“兵器谱”积极释放技术价值

　　在产业链各界专家积极交流碰撞如何组建全面有效的防御体系对抗病毒的同时，本届大会针对各个安全厂商研发的杀毒“神器”也进行了集中检阅。

　　KCon黑客大会作为展示安全行业前沿技术的权威平台，吸引了业内最顶尖的技术武器报名参选。对于参选的技术武器，官方组委将设置关卡考量其在技术深度、实际应用等方面的表现。经过层层选拨后，最终只有6件武器能够入选“兵器谱”。这不仅是一场安全技术的竞技，更体现了安全行业技术发展的最核心的成果。在本次大会上，腾讯安全反病毒实验室旗下的哈勃分析系统成功入选“兵器谱”。

　　据了解，哈勃分析系统是一套自动化分析系统，拥有从海量数据中提取威胁情报的能力，每天能够自动识别多达千万的恶意文件和攻击，为广大腾讯电脑管家用户的安全保驾护航。哈勃分析系统支持Windows、Android、Linux等多个全世界主流的操作系统。

　　来自腾讯安全反病毒实验室的安全专家杨经宇针对哈勃分析系统开源项目也做了重点介绍，该项目主要用于Linux平台下进行自动化分析、文件安全性检测，能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。

　　近年来，哈勃分析系统在国内外舞台连续入选“兵器谱”，不仅标志着哈勃分析系统的研究和实践得到了顶级安全从业人员的认可，也意味着中国安全技术实力已经达到了国际领先水平。