解析惡意代碼傳播趨勢
惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產(chǎn)生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進一步模糊了蠕蟲、病毒和特洛伊的區(qū)別。
(2)混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術(shù)語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現(xiàn)的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導(dǎo)區(qū)方式發(fā)展為多種類病毒蠕蟲方式,所需要的時間并不是很長。
(3)多平臺
多平臺攻擊開始出現(xiàn),有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術(shù)
另外一個趨勢是更多的惡意代碼使用銷售技術(shù),其目的不僅在于利用受害者的郵箱實現(xiàn)最大數(shù)量的轉(zhuǎn)發(fā),更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,并且使用網(wǎng)絡(luò)探測、電子郵件腳本嵌入和其它不使用附件的技術(shù)來達到自己的目的。
惡意軟件(malware)的制造者可能會將一些有名的攻擊方法與新的漏洞結(jié)合起來,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)服務(wù)器和客戶機同樣遭受攻擊
對于惡意代碼來說服務(wù)器和客戶機的區(qū)別越來越模糊,客戶計算機和服務(wù)器如果運行同樣的應(yīng)用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務(wù)是一個操作系統(tǒng)缺省的服務(wù),因此它的服務(wù)程序的缺陷是各個機器都共有的,Code Red的影響也就不限于服務(wù)器,還會影響到眾多的個人計算機。
(6)Windows操作系統(tǒng)遭受的攻擊最多
Windows操作系統(tǒng)更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺,病毒總是選擇配置不好的網(wǎng)絡(luò)共享和服務(wù)作為進入點。其它溢出問題,包括字符串格式和堆溢出,仍然是濾過性病毒入侵的基礎(chǔ)。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。
另外一類缺陷是允許任意或者不適當?shù)膱?zhí)行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導(dǎo)致兩個ActiveX控件在信任級別執(zhí)行,但是它們?nèi)匀辉谟脩舨恢赖那闆r下,執(zhí)行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設(shè)置,執(zhí)行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發(fā)黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數(shù)據(jù)類型,欺騙客戶軟件執(zhí)行不適當?shù)拇a。
惡意代碼的幾個相關(guān)問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對于防護效果的提高很小。
(2)用戶對于Microsoft的操作系統(tǒng)和應(yīng)用程序抱怨很多,但是病毒防護工具本身的功能實在是應(yīng)該被最多抱怨的一個因素。
(3)啟發(fā)式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調(diào)整啟發(fā)式軟件的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業(yè)在防火墻管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務(wù)。
(5) 惡意代碼攻擊方面的數(shù)據(jù)分析做得很不夠,盡管有些病毒掃描軟件有系統(tǒng)活動日志,但是由于文件大小限制,不能長期保存。同時對于惡意代碼感染程度的度量和分析做得也不夠,一般的企業(yè)都不能從戰(zhàn)術(shù)和戰(zhàn)略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟件只是通知用戶改變設(shè)置,而不是自動去修改設(shè)置。
(7) 病毒防護軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。
(8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導(dǎo)區(qū)傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網(wǎng)絡(luò)傳播,發(fā)作和流行的時間越來越短。Form引導(dǎo)區(qū)病毒1989年出現(xiàn),用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現(xiàn),用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數(shù)字背后的規(guī)律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發(fā)布到流行的時間都越來越短。
【編輯推薦】
