清掃盲區(qū):惡意代碼基礎解析 |
發(fā)布時間: 2012/7/4 11:47:21 |
一、惡意代碼的特征
惡意代碼(Malicious code)或者叫惡意軟件Malware(Malicious Software)具有如下共同特征: (1) 惡意的目的 (2) 本身是程序 (3) 通過執(zhí)行發(fā)生作用 有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特征進行討論的文獻很多,盡管它們數(shù)量很多,但是機理比較近似,在防病毒程序的防護范圍之內(nèi),更值得注意的是非濾過性病毒。 二、非濾過性病毒 非過濾性病毒包括口令破解軟件、嗅探器軟件、鍵盤輸入記錄軟件,遠程特洛伊和諜件等等,組織內(nèi)部或者外部的攻擊者使用這些軟件來獲取口令、偵察網(wǎng)絡通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟件實際上等于在企業(yè)的防火墻上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防御不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括: (1)諜件 諜件(Spyware)與商業(yè)產(chǎn)品軟件有關,有些商業(yè)軟件產(chǎn)品在安裝到用戶機器上的時候,未經(jīng)用戶授權就通過Internet連接,讓用戶方軟件與開發(fā)商軟件進行通信,這部分通信軟件就叫做諜件。用戶只有安裝了基于主機的防火墻,通過記錄網(wǎng)絡活動,才可能發(fā)現(xiàn)軟件產(chǎn)品與其開發(fā)商在進行定期通訊。諜件作為商用軟件包的一部分,多數(shù)是無害的,其目的多在于掃描系統(tǒng),取得用戶的私有數(shù)據(jù)。 (2)遠程訪問特洛伊 遠程訪問特洛伊RAT 是安裝在受害者機器上,實現(xiàn)非授權的網(wǎng)絡訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執(zhí)行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。 (3)Zombies 惡意代碼不都是從內(nèi)部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網(wǎng)絡上計算機系統(tǒng)的安全漏洞將自動攻擊腳本安裝到多臺主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。 4)破解和嗅探程序和網(wǎng)絡漏洞掃描 口令破解、網(wǎng)絡嗅探和網(wǎng)絡漏洞掃描是公司內(nèi)部人員偵察同事,取得非法的資源訪問權限的主要手段,這些攻擊工具不是自動執(zhí)行, 而是被隱蔽地操縱。 (5)鍵盤記錄程序 某些用戶組織使用PC活動監(jiān)視軟件監(jiān)視使用者的操作情況,通過鍵盤記錄,防止雇員不適當?shù)氖褂觅Y源,或者收集罪犯的證據(jù)。這種軟件也可以被攻擊者用來進行信息刺探和網(wǎng)絡攻擊。 (6)P2P 系統(tǒng). 基于Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共端口穿透防火墻,從而讓雇員建立起自己的VPN,這種方式對于組織或者公司有時候是十分危險的。因為這些程序首先要從內(nèi)部的PC 遠程連接到外邊的Gotomypc 主機,然后用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業(yè)帶來很大的危害。 (7)邏輯炸彈和時間炸彈 邏輯炸彈和時間炸彈是以破壞數(shù)據(jù)和應用程序為目的的程序。一般是由組織內(nèi)部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對于網(wǎng)絡和系統(tǒng)有很大程度的破壞,Omega 工程公司的一個前網(wǎng)絡管理員Timothy Lloyd,1996年引發(fā)了一個埋藏在原雇主計算機系統(tǒng)中的軟件邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監(jiān)禁。 三、惡意代碼的傳播手法 惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟件漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟件,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執(zhí)行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。 利用商品軟件缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業(yè)軟件產(chǎn)品的缺陷和弱點,比如溢出漏洞和可以在不適當?shù)沫h(huán)境中執(zhí)行任意代碼。像沒有打補丁的IIS軟件就有輸入緩沖區(qū)溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷! 惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區(qū)中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現(xiàn)了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網(wǎng)關過濾程序的限制和阻斷,惡意代碼的編寫者也會設法繞過網(wǎng)關過濾程序的檢查。使用的手法可能包括采用模糊的文件類型,將公共的執(zhí)行文件類型壓縮成zip文件等等! 對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統(tǒng)的攻擊案例不斷增加,其手法多為欺騙用戶下載和執(zhí)行自動的Agent軟件,讓遠程系統(tǒng)用作分布式拒絕服務(DDoS)的攻擊平臺,或者使用后門程序和特洛伊木馬程序控制之。 惡意代碼在當今的網(wǎng)絡環(huán)境中是熱點話題,黑客們喜歡利用惡意代碼加載到你的主機,獲取非法的利益,所以網(wǎng)民一定要利用防護工具或是采取防護措施保護自己的電腦。 本文出自:億恩科技【mszdt.com】 |