黑客威脅內網安全的四類對抗手段
黑客用來與殺毒軟件對抗、威脅內網安全的技術手段主要有四種:
1.阻止殺毒軟件聯網,使“云安全”失去作用
目前有多種殺毒軟件為了追求“體積小、占用內存小”而采用了徹底的“云查殺”方式來對付病毒,遇到病毒時需要連接服務器,讀取病毒的特征碼之后再進行查殺。一旦不能聯網,采用該技術的殺毒軟件就變得形同虛設。
針對這些殺毒軟件的“云查殺弱點”,病毒采用了各種手段切斷殺毒軟件的升級渠道。采用的方法有安裝過濾驅動,添加IPSEC策略,添加路由表規則,添加DNS劫持,winsock組件劫持等等。最典型的當屬今年流行的“狗皮膏”木馬病毒。
2.自動增肥,給殺毒軟件采集樣本制造障礙
目前絕大多數殺毒軟件遇到可疑文件時都會上傳到服務器,對這些采集到的樣本進行分析后加入病毒庫,實現對病毒的查殺。
傳統病毒的體積很小,這樣比較有利于傳播。有些殺毒軟件也針對這個特點,對可疑文件的上報做了限制,超過一定大小的就不再上傳;有些“云查殺”殺毒軟件為了快速查殺,也主動忽略了某些較大文件的查殺,這就給病毒以可乘之機。很多病毒在復制自身的時候,會不斷的向文件內寫入垃圾數據,使得文件變得很大,這樣就可以躲過殺毒軟件的上傳甚至查殺。某些病毒的體積,甚至超過100M,相當于一集電視劇的體積。
3.盜用正規軟件簽名,繞過殺毒軟件查殺
正規商業軟件通常會有自己獨特的“數字簽名”,殺毒軟件遇到帶有簽名的軟件時會主動放過。由于有些公司對于自己的“數字簽名”管理不嚴格,造成有的簽名被病毒盜用,從而繞過殺毒軟件的查殺。例如“超級工廠”病毒,就盜用了某聲卡廠商的簽名,讓殺毒軟件認為自己是正常的聲卡驅動,從而躲過殺毒軟件的查殺。
4.多種正規軟件存在安全性缺陷,被病毒利用來傳播
2010年,由于多種正規軟件存在安全性缺陷,被病毒利用來傳播。如農業銀行軟件ABCChina.exe運行Feitian.exe缺陷等。
內網的安全關系到企業的利益問題,雖然殺毒軟件起到一定的保護作用,但是,黑客還是有辦法攻破的。
【編輯推薦】
