惡意代碼的發(fā)展趨勢及防御策略

惡意代碼的發(fā)展趨勢及防御策略

1新技術(shù)新東南角2007年和2008年是中國惡意代碼快速發(fā)展的兩年。這兩年間,惡意代碼無論從技術(shù)、數(shù)量上還是從傳播能力、影響力上,與之前相比都有了突破性的發(fā)展,在“灰色產(chǎn)業(yè)鏈”的推動下,熊貓燒香、機(jī)器狗、磁碟機(jī)等一系列對抗性病毒的大規(guī)模爆發(fā),給廣大終端用戶和互聯(lián)網(wǎng)企業(yè)造成了巨大的損失,另一方面,惡意代碼與安全軟件之間對抗的加劇也引起了國內(nèi)安全軟件產(chǎn)業(yè)的重大變革,安全軟件廠商紛紛實行免費(fèi)策略,并推出各自新技術(shù)新賣點(diǎn),安全軟件業(yè)正面臨洗牌。22007和2008年惡意代碼的特點(diǎn)2.1惡意代碼分類惡意代碼泛指包括病毒、蠕蟲、傀儡程序、木馬、后門程序,以及可能導(dǎo)致計算機(jī)使者信息外泄的廣告、間諜程序等。近期,惡意代碼之間的分類已經(jīng)模糊化,人們往往將病毒通稱惡意代碼,惡意代碼也不再單純是其中的某一種,而可能是它們的混合。比如,有些病毒功能越來越強(qiáng)大,不僅擁有蠕蟲病毒傳播速度和破壞能力,而且還具有木馬的控制計算機(jī)和盜竊重要信息的功能。2.2下載器病毒攻擊近期的機(jī)器狗、磁碟機(jī)等流行病毒都是下載器類的惡意代碼,這些惡意代碼下載器本身并無明顯發(fā)作現(xiàn)象,但是它們破壞了電腦的“防御系統(tǒng)”,并充當(dāng)了一種“運(yùn)輸工具”,在短時間內(nèi)可以大量下載病毒、木馬等各種惡意軟件,危害非常嚴(yán)重。2.3sdthok攻擊現(xiàn)在大部分惡意代碼運(yùn)用的主流技術(shù)都進(jìn)入了驅(qū)動級,病毒已經(jīng)不再一味逃避,而是開始與安全軟件爭搶系統(tǒng)驅(qū)動的控制權(quán)。通過Rootkit技術(shù)和映像劫持技術(shù)隱藏自身的進(jìn)程、注冊表鍵值,通過插入進(jìn)程、線程避免被殺毒軟件查殺,通過實時監(jiān)測對自身進(jìn)程進(jìn)行回寫,避免被殺毒軟件查殺,通過還原系統(tǒng)SSDTHOOK和還原其他內(nèi)核HOOK技術(shù)破壞反病毒軟件,其中,僅映像劫持技術(shù)就包括“進(jìn)程映像劫持”、“磁盤映像劫持”、“域名映像劫持”、“系統(tǒng)DLL動態(tài)連接庫映像劫持”等多種方式。2.4惡意代碼傳播的多樣性早期,惡意代碼主要通過電子郵件、系統(tǒng)漏洞、網(wǎng)絡(luò)共享、文件等方式進(jìn)行傳播,而且傳播模式主要是通過吸引用戶去點(diǎn)擊。隨著網(wǎng)絡(luò)的發(fā)展,信息交換和共享的渠道和方式更加多樣、便捷,但隨之也帶來惡意代碼傳播的多樣化。出現(xiàn)了通過ARP攻擊、網(wǎng)上掛馬、漏洞攻擊、移動存儲沒備、網(wǎng)絡(luò)共享、網(wǎng)絡(luò)下載、IM軟件等傳播方式,其中,感染U盤之類的移動存儲設(shè)備、利用ARP方式感染局域網(wǎng)和網(wǎng)頁掛馬,成為當(dāng)中最流行的三種途徑。而且,這三者相互補(bǔ)充,可以有效提高病毒的傳播范圍和能力,只要局域網(wǎng)中有一臺電腦中毒,病毒很快就會蔓延到整個網(wǎng)絡(luò),可造成網(wǎng)絡(luò)堵塞、機(jī)密信息被竊取等網(wǎng)絡(luò)安全風(fēng)險,給企業(yè)局域網(wǎng)、校園網(wǎng)絡(luò)等的正常運(yùn)行造成了很大威脅。2.5用戶面臨的威脅更當(dāng)用戶逐漸注意定期安裝Windows漏洞補(bǔ)丁的時候,惡意代碼編制者便把目光轉(zhuǎn)向了裝機(jī)率非常高的一些第三方軟件,從早期的迅雷0day漏洞到暴風(fēng)影音、RealPlayer漏洞等,再到最近的FlashPlayer漏洞,這些在互聯(lián)網(wǎng)中廣泛安裝使用的各類軟件不但有著巨大的用戶群體,而且沒有固定的補(bǔ)丁發(fā)布期限,很多用戶只要能正常使用,就不會因為安全問題而去安裝更新的版本,用戶面臨的威脅比原有的Windows漏洞更嚴(yán)重,危害也更大?，F(xiàn)在,多數(shù)惡意代碼已經(jīng)很少使用單一漏洞傳播,而是綜合利用系統(tǒng)漏洞和第三方軟件漏洞。例如,2008年5月底發(fā)現(xiàn)的FLASH遠(yuǎn)程代碼執(zhí)行漏洞,在短短的一周內(nèi),就有數(shù)萬人受到了利用該漏洞的惡意代碼攻擊。2.6自動生產(chǎn)病毒由于技術(shù)的快速發(fā)展,使得客制化加殼的技術(shù)可以非常容易地在客戶端通過一些簡單的腳本技術(shù)或簡單的程序就能完成,惡意代碼制作技術(shù)平民化,任何具備基礎(chǔ)電腦知識的人,只要從網(wǎng)上下載加殼工具,就可以自動生產(chǎn)出病毒。2008年上半年,計算機(jī)病毒、木馬的數(shù)量呈爆炸式增長,其總數(shù)已經(jīng)超過了近五年的病毒數(shù)量的總和。金山毒霸全球反病毒監(jiān)測中心監(jiān)測數(shù)據(jù)顯示,截止到2008年6月30日,上半年金山毒霸共截獲新增病毒、木馬1242244個,較2007年全年病毒、木馬總數(shù)增長了338%。另外,加密技術(shù)尤其是非對稱的加密技術(shù)的日益普及和廣泛運(yùn)用,使得客制化加殼變得更加容易,而殺毒、殺木馬等對安全軟件來說,脫殼查殺的難度變得更大。2.7飽和攻擊的安全威脅近期的惡意代碼大多能夠通過網(wǎng)絡(luò)下載大量各種惡意代碼,如病毒、木馬、廣告程序、后門等,對計算機(jī)實施飽和攻擊,并破壞安全模式、強(qiáng)制隱藏文件、刺破還原卡、對流行的GHOST備份文件加入惡意代碼。惡意代碼往往綜合應(yīng)用各種先進(jìn)技術(shù),對抗安全軟件,而且變種迅速,單純地安裝安全軟件越來越來難以防范惡意代碼的攻擊,導(dǎo)致計算機(jī)癱瘓后普通用戶根本沒有能力徹底清除,只能求助專業(yè)技術(shù)人員。2.8趨向網(wǎng)絡(luò)效應(yīng)的“灰色產(chǎn)業(yè)鏈”過去,炫耀技術(shù)一直是惡意代碼編制者的根本初衷,惡意代碼編制者主要是為了通過攻擊出名和顯示自己高于他人的技術(shù),從而滿足其虛榮心,贏得人們的尊重和崇拜。但現(xiàn)在的惡意代碼編制者已和以前不同了,他們不再以炫耀技術(shù)為目的,而是帶有明確商業(yè)的目的,網(wǎng)絡(luò)上已經(jīng)形成一條“灰色產(chǎn)業(yè)鏈”,將惡意代碼制作引領(lǐng)為一種產(chǎn)業(yè),網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多,且公開化。例如,“熊貓燒香”的制作者李俊每天入賬收入近1萬元。正因如此,目前病毒制造者在經(jīng)濟(jì)利益的驅(qū)動下,不斷追求技術(shù)突破,使得木馬、病毒的感染率呈爆炸式增長,利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢。這種趨利性引發(fā)了大量的網(wǎng)絡(luò)犯罪活動,對用戶信息的安全威脅更大,危及網(wǎng)絡(luò)的應(yīng)用與發(fā)展。3未來惡意代碼的發(fā)展趨勢3.1安全軟件的查殺和防護(hù)技術(shù)研究惡意代碼與安全軟件之間的對抗一直沒有中斷過,2007年、2008年上半年這段時間表現(xiàn)得尤為突出,批量加殼、變形等技術(shù)手段的運(yùn)用,使安全軟件的滯后性的弊端暴露無遺,殺毒軟件賴以生存的特征碼掃描技術(shù)也將面臨嚴(yán)峻的挑戰(zhàn);綜合利用各種編程新技術(shù)躲避、中止安全軟件,使安全軟件的查殺能力大大下降。因此,如何研究新的查殺和防護(hù)技術(shù)成了安全廠商們能否搶占市場的最大關(guān)鍵。不過,有的惡意代碼編制者甚至開始進(jìn)行“前瞻性的研究”,針對“主動防御”、“智能防御”等新技術(shù)來研究反安全軟件措施,惡意代碼與安全軟件之間的對抗將日益加劇。3.2各類以奧運(yùn)為主題的視頻、照片、鏈接熱點(diǎn)事件具有關(guān)注率高、網(wǎng)友瀏覽點(diǎn)擊率高等特點(diǎn),所以成為了惡意代碼編制者熱衷的利用對象。例如,2008北京奧運(yùn)會開幕,吸引了國內(nèi)外眾多人群的關(guān)注,尤其是這一屆奧運(yùn)會是“數(shù)字奧運(yùn)”,利用網(wǎng)絡(luò)對奧運(yùn)會進(jìn)行宣傳和推廣是其主要特點(diǎn),因此,各種以奧運(yùn)為主題的視頻、圖片、鏈接非常有可能成為惡意代碼利用的目標(biāo)。奧運(yùn)網(wǎng)站也可能是國內(nèi)外分裂勢力實施網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)恐怖襲擊的重點(diǎn),他們極有可能會利用之前網(wǎng)站的漏洞進(jìn)行潛伏,在訪問量急劇上升、系統(tǒng)維護(hù)告急的情況下實施致命的攻擊,以達(dá)到破壞和偷竊等目的,制造重大影響的事件。3.3“雞肉”數(shù)量據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的監(jiān)測數(shù)據(jù)顯示,2007年我國有19個僵尸網(wǎng)絡(luò)操控的計算機(jī)(即“肉雞”)數(shù)量超過10萬臺。僵尸網(wǎng)絡(luò)主要被利用發(fā)起拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件、傳播惡意代碼,以及竊取受感染主機(jī)中的敏感信息,而由僵尸網(wǎng)絡(luò)發(fā)出的大流量、分布式DDoS攻擊是目前公認(rèn)的世界難題,不僅嚴(yán)重影響互聯(lián)網(wǎng)企業(yè)的運(yùn)作,而且嚴(yán)重威脅著我國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的運(yùn)行安全。3.4惡意攻擊、攻擊社會工程學(xué)就是一種通過對受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱,進(jìn)行諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已成迅速上升甚至濫用的趨勢。例如,網(wǎng)絡(luò)釣魚、捆綁軟件、惡意鏈接等。再例如,最近大部分對抗型惡意代碼基本上是直接刪除殺毒軟件的文件,而Flash特務(wù)病毒卻采取的是替換殺毒軟件的主要文件。如果直接刪除殺軟的文件,那么當(dāng)用戶發(fā)現(xiàn)系統(tǒng)異常時,就很容易認(rèn)識到是中了病毒,迅速求助。而如果是替換殺軟文件,則大部分用戶會以為是殺軟出了問題,導(dǎo)致系統(tǒng)異常而麻痹大意。另外,Flash特務(wù)病毒運(yùn)行之后,還會刪除文件擦除的痕跡,更不容易讓用戶察覺。4網(wǎng)絡(luò)安全檢測措施完善本網(wǎng)服務(wù)體系和安全中心(1)建立良好的安全習(xí)慣、提高警惕性,不打開可疑郵件和可疑網(wǎng)站,不隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接,抵制來自網(wǎng)絡(luò)的各種誘惑信息。(2)修改系統(tǒng)配置、增強(qiáng)系統(tǒng)自身安全性,關(guān)閉系統(tǒng)不必要的系統(tǒng)服務(wù)。修改系統(tǒng)安全配置,提高系統(tǒng)安全性。例如:關(guān)閉自動播放功能,取消不必要的默認(rèn)共享等。(3)打開自動升級服務(wù),及時修補(bǔ)系統(tǒng)漏洞,加強(qiáng)預(yù)警,及時安裝操作系統(tǒng)補(bǔ)丁和應(yīng)用軟件補(bǔ)丁,盡量確保使用Flash、QQ、迅雷等第三方軟件的最新版本。此外,還要經(jīng)常關(guān)注安全機(jī)構(gòu)和廠商發(fā)布的重大安全事件,做好預(yù)警防范措施。(4)局域網(wǎng)用戶盡量實現(xiàn)網(wǎng)卡、路由器的雙向綁定,防止ARP病毒的傳播。在使用移動介質(zhì)時,最好事先打開安全軟件進(jìn)行掃描。(5)正確安裝使用安全軟件,保證及時升級,并打開實時監(jiān)視功能,防止來自網(wǎng)絡(luò)的攻擊和破壞。(6)定期進(jìn)行安全檢查,用戶使用安全軟件或者請專業(yè)人員定期對系統(tǒng)的自啟動項、進(jìn)程等關(guān)鍵內(nèi)容進(jìn)行檢查,及時發(fā)現(xiàn)存在的問題。注意觀察安全軟件的狀態(tài),看安全軟件是否被惡意代碼關(guān)閉,如果出現(xiàn)安全軟件異常關(guān)閉,請及時斷開網(wǎng)絡(luò),利用安全軟件查殺。(7)為本機(jī)管理員賬號設(shè)置較為復(fù)雜的密碼,預(yù)防病毒通過密碼猜測進(jìn)行傳播,最好是數(shù)字與字母組合的密碼。對網(wǎng)絡(luò)性能進(jìn)行優(yōu)化日前,網(wǎng)絡(luò)應(yīng)用和測試公司BreakingPointSystems(美國必銳博系統(tǒng)公司)為NetQoS公司提供了一套萬兆實時網(wǎng)絡(luò)測試平臺,以實現(xiàn)快速、準(zhǔn)確地驗證網(wǎng)絡(luò)的性能,從而加快該公司產(chǎn)品開發(fā)的速度。BreakingPoint采用實際應(yīng)用流量、能夠?qū)Ω咚龠\(yùn)行的網(wǎng)絡(luò)設(shè)備(高達(dá)10gps/秒)進(jìn)行4-7層的網(wǎng)絡(luò)測試。NetQoS公司選用BreakingPoint測試平臺測試產(chǎn)品性能,這已經(jīng)成為NetQoS公司產(chǎn)品質(zhì)量檢查的關(guān)鍵步驟。BreakingPoint測試平臺有以下技術(shù)優(yōu)勢:(1)支持多種應(yīng)用協(xié)議:NetQoS的設(shè)備幫助大型企業(yè)和服務(wù)提供商監(jiān)測網(wǎng)絡(luò)性能,支持各種應(yīng)用協(xié)議,包括那些對業(yè)務(wù)進(jìn)程起決定性作用協(xié)議,如VoIP和FIX等。BreakingPoint的測試平臺支持50多種應(yīng)用協(xié)議,包括語音和視頻、P2P網(wǎng)絡(luò)加密協(xié)