病毒利用应用软件、系统软件漏洞传播
第二节、互联网用户安全威胁分析
一、流行应用软件成为黑客/病毒的攻击重点
以前,wndows系统的脆弱被大家公认,但是由于微软会定时发布相应的系统补丁,用户只要即使弥补,就不会造成太大的危害。在2007年中,这种情况有了巨大的改变,百度搜霸、暴风影音、Qvod(Q播)、realplayer等流行软件取代了windows的“漏洞王”地位。
它们不但有着巨大的用户群体,而且没有固定的补丁发布期限;很多用户只要能正常使用,就不会因为安全问题而去安装更新的版本,这样的话,数千万存在漏洞的软件就被安装到用户的电脑之中,用户去浏览带毒网站时很容易被病毒感染。
根据瑞星的统计,2007年中,被黑客利用的应用软件漏洞如下图所示:
二、windows系统漏洞
Windows系统漏洞可能给系统造成非常大的安全损害。2007年4月,微软浏览器的“动画图标文件栈溢出漏洞”被曝光,其影响包括vista在内的windows主流操作系统产品。在微软发布补丁之前,利用该漏洞的攻击方法已经在互联网上传播,并且出现了利用该漏洞的“ANI蠕虫”病毒。
“ANI蠕虫”病毒的传播手段和危害方式和臭名昭著的“熊猫烧香”病毒类似,但是由于其使用的是微软尚未发布补丁的漏洞进行传播,具有更强的危害性,瑞星为此发出2007年第一个“橙色安全警报”(二级)。
相对来讲,弥补系统漏洞的工具和技术都比较成熟。如瑞星杀毒软件2008中集成的“漏洞扫描”,完全采用了傻瓜化的操作模式,用户可以很轻松的弥补系统里所有的漏洞。同时,瑞星主动防御技术中也包含了“系统加固”功能,针对容易遭到病毒攻击的注册表、系统驱动等脆弱点进行保护,可以在很大程度上阻止漏洞型病毒对系统的危害。
流氓网站兴起
三、流氓网站的兴起
2007年,以强迫(诱骗)注册、骗取用户的各种隐私资料为特征的“流氓网站”开始兴起。与传统的钓鱼网站、挂马网站不同,这些“流氓网站”往往是正规的商业公司,他们甚至拥有海外投资背景,有着完备的组织团队。
这些流氓网站往往会抄袭某个国外热门网站的商业模式,例如facebook、youtube等,但是在关键性的环节上采用类似病毒、木马的技术手段,以损害用户的隐私安全、使用感受为代价,取得最大的商业利益。
流氓网站的典型表现包括:
1、强制(诱骗)用户注册,而且用户注册后的帐号无法顺利注销。例如,有的网站在用户要求注销自己的帐户时,不但要求其回答各类复杂的问题,甚至会要求用原始注册邮箱提供注销激活码等
2、网站要求用户填入QQ号、MSN密码、手机号等隐私资料,而用户只要提供这些资料,网站就会以用户的名义,在MSN上骚扰其好友,要求好友注册网站、提供手机号等隐私资料。
3、擅自出售用户的隐私资料获利。例如,有的网站注册之后,就会把用户的手机号、QQ号等出售给需要的商家,于是用户就会不断收到推销保险、推销炒股软件的垃圾短信。
4、有的网站,为了提高自己的浏览量,甚至开发了专门的强制浏览插件,当用户上网时,会在后台偷偷打开自己的网页,借以获取大量广告收入
四、小结:互联网安全趋势恶化
随着网络炒股、网络视频等新兴应用的火爆,用户与网络之间需要越来越多的交互,这就给黑客带来了攻击的机会。而一些基础性程序、应用软件存在漏洞,使得木马病毒、下载器、钓鱼网站等攻击越来越泛滥,整个互联网的安全形势不容乐观。
在日常的安全防护中,不但要重视Windows系统漏洞的弥补,还要注意防范应用软件的漏洞。例如某些IE浏览器的插件、输入法、影音播放等应用软件,都可能成为病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能,还要注意其安全性能,并使用最新版本的软件。
主动防御
第三节 主动防御:有效解决三大安全问题
安全厂商在与病毒的对抗中,面临着众多的问题,包括反病毒产品的普遍适用性、用户的薄弱安全意识如何用技术弥补、流氓软件(灰色软件)与病毒的模糊辨别等一系列问题。但是在2007年中,有三大问题特别值得重视,它给整个安全行业带来了巨大的压力:
这三个问题是:
第一、如何发现判定未知病毒(未知威胁)。
第二、针对未知病毒(威胁)的泛滥,怎样增强计算机系统的主动防御能力;
第三、如果有些未知病毒的侵入不能完全避免,怎样才能降低它们所带来的损失;
一、如何发现(判定)未知威胁
从2007年的发展状况看,新增病毒数量仍然呈现爆炸式增长,这给病毒分析人员带来越来越大的压力。根据专家介绍,一个熟练的病毒工程师,每天可以分析40-50个样本,而现在每天出现在网络上的病毒样本平均为3000—4000个,这样的产生速度,几乎已经到了厂商捕获和分析能力的极限。
如果不能在技术上遏制这个趋势,那就会产生两个后果:传统的病毒采集渠道不堪重负,在短时间内收集不到必须的样本;而限于现有的病毒分析能力,即使收集到足够的病毒样本,海量的病毒也会让病毒分析人员无所适从。这就导致杀毒软件赖以生存的“特征码扫描”技术面临严峻的挑战。
因此,越来越多的安全厂商开始研究如何快速的发现(判别)未知(威胁),行为分析被认为有效解决这一问题的手段之一。
目前,行为分析主要分为虚拟机方式和监控方式。虚拟机行为分析是模拟操作系统环境,把程序放入虚拟机中“运行”观察程序的系统动作模式(行为)进行判定;而监控行为分析方式是指在真实操作系统环境中拦截(观察)程序的系统动作模式(行为)进行判定。
基于虚拟机的行为分析
瑞星很早就开始对基于虚拟机的行为分析技术进行研究,并在2003年底将该技术应用到瑞星杀毒软件2004版当中。当时的扫描引擎不仅可以有效地发现DOS及Win9X下的感染型未知病毒,并且还能够安全地清除掉这些未知病毒。
由于技术的发展,使得Windows系统越来越复杂,要想模拟出较为“完美”的系统环境需要占用较大的系统资源,这使虚拟机行为分析变得较为困难。尽管如此,虚拟机技术仍然在反病毒领域有着较高的地位,瑞星也没有放弃对虚拟机技术的研究。比如,瑞星杀毒软件2007版采用的虚拟机脱壳引擎就是通过制造一个虚拟的运行环境,对一些加壳加密的病毒进行脱壳,查杀病毒。由于虚拟机脱壳不需要创造一个完整的运行环境,因此对系统资源占用很小,速度也较快。
随着计算机硬件技术的不断发展,Intel、AMD的CPU直接支持虚拟机指令,使得虚拟机的执行效率得到很大改善,虚拟机行为分析将会成为未来反病毒软件查杀未知病毒的重要技术手段之一。
行为分析
基于监控的行为分析技术
基于监控的行为分析技术,瑞星杀毒软件2007版也已经开始采用。IE执行保护是针对目前网络挂马现象严重而开发的功能,它会自动对程序的动作进行判断。当发现带毒网站有试图利用用户计算机漏洞自动下载运行病毒的动作时,自动将其阻止。
瑞星杀毒软件2008中引入的恶意行为检测是一套较为成熟的基于监控的行为分析。它完全模拟反病毒专家分析病毒的过程,先对程序动作进行观察,然后分析程序动作之间的逻辑关系,并使用预装的病毒模式特征库进行判断,进而检测出病毒。
由于行为分析技术是基于程序的行为特征进行判断,属于一种模糊判别。因此,行为分析不可避免的会遇到误判的问题。某个主动防御软件的做法是引入白名单进制,发现有误判的就加白名单,致使软件要像升级病毒库一样升级白名单库,同时会造成白名单数据库庞大,对系统资源占用较高的问题。同时,当一个正常软件升级后,必须将其升级版本也加入白名单,否则就会再次发生误判。
为了解决这一问题,瑞星杀毒软件采用了病毒的家族特征判别技术,有效的提高了行为分析的准确率。
主动防御现状和展望
四、小结:主动防御的现状和展望
综上所述,尽管主动防御技术在2007年得到了广泛的应用和认可,单单在瑞星软件就有了5000余万用户的大范围实用。但从用户角度来讲,主动防御技术的某些先天弱点还有待改善,例如需要用户交互的问题过多,弹对话框要求用户确认;如果单纯依靠主动防御,则误杀率还不尽如人意等等,这些都是杀毒软件未来的提高方向。
如果在技术上没有新的突破,安全厂商将在这场战斗中处于下风。
2007年里,几乎所有的主流厂商都投入了大量精力,应对互联网络的未知安全威胁。而瑞星公司在这场技术竞争中已经位于前列,07年下半年,瑞星杀毒软件2008版发布,其中集成的“主动防御”、“虚拟机脱壳”、“木马强杀”等技术得到了广大用户的认可,在实际应用中起到决定性的作用。
据专家介绍,主动防御等技术的推出,可以在很大程度上解决目前的病毒数量激增、木马病毒泛滥的实际情况。针对所有厂商面临的三大安全问题,有了比较满意的解决办法。
第一,如何增强系统防御攻击的能力
由于Windows系统的特性,系统中存在着大量可以被病毒利用或者攻击的脆弱点。对2007年新出现的大量病毒分析得出,黑客们已经挖掘出了越来越多的脆弱点,并且在对这些脆弱点的利用及攻击,在技术已经非常成熟。
比如,IFEO劫持(映像劫持)技术是2007年病毒、木马普遍采用的一个攻击手段。通过IFEO劫持,黑客可以很轻易地使一些杀毒软件、个人防火墙及其它安全类工具无法运行。
而Hosts表劫持也是近几年较为流行的一种劫持手段。病毒通过改写系统Hosts文件,可以将用户的正常网络访问转向到黑客指定的网站上。比如,用户输入了正确的网上银行地址,但实际访问的则是黑客实现准备好的一个假冒的银行网站或带毒网站。另外,病毒还利用此种手段阻止一些杀毒软件通过互联网升级。
在瑞星杀毒软件2008版的智能主动防御中,内置了系统加固功能,对系统中易被病毒攻击的注册表、系统进程、系统文件中的数十个脆弱点进行保护,自动阻断病毒对系统的攻击。
如何降低损失
第二,如何降低未知威胁(病毒、黑客)攻击带来的损失
由于种种复杂的原因,很多病毒能够突破杀毒软件的防护。例如,用户没有及时更新病毒、系统没有打好补丁。这时候就需要考虑:即使病毒能够侵入用户电脑,也要把用户遭受到的损失减到最低。
获取经济利益已经成为近年来黑客编写病毒的最终目的,2007年截获的病毒中,木马病毒超过六成,并且绝大多数都为盗号木马。虽然病毒数量众多,但它们盗取帐号所用的技术手段几乎相同,均是采用发消息、读写目标程序内存、监听键盘输入等技术,因此,将应用程序的进程隔离、阻止了病毒的这些动作,就可以有效地阻止绝大多数的盗号事件发生。
也就是说,当做好这些保护时,即使木马病毒已经侵入用户电脑,也做不了任何危险操作,不能偷取密码、不能破坏系统进程。这样对用户来讲,安全程度已经大大提高。
瑞星杀毒软件2008版“智能主动防御”中的应用程序保护,及基于该技术的“账号保险柜”即是基于进程保护的理念开发,它可以将用户的网银、网游、QQ等应用程序保护起来。即使用户的计算机不慎感染了新出现的未知盗号木马,也可以最大限度地保护用户的帐号不被黑客盗取。
此外,瑞星“智能主动防御”中的应用程序访问控制可以限定用户指定程序对系统文件、注册表等的访问权限,在不同应用领域也起到重要的作用。例如,在网络服务器上,管理员完全可以禁止除必要程序之外的任何操作,这样病毒就无法利用低权限应用程序的漏洞,来获取更高级的权限。
| 共2页: 上一页 [1] 2 |