解析惡意代碼傳播趨勢(shì) |
發(fā)布時(shí)間: 2012/7/4 11:48:29 |
惡意代碼傳播的趨勢(shì)
惡意代碼的傳播具有下面的趨勢(shì): (1)種類更模糊 惡意代碼的傳播不單純依賴軟件漏洞或者社會(huì)工程中的某一種,而可能是它們的混合。比如蠕蟲產(chǎn)生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進(jìn)一步模糊了蠕蟲、病毒和特洛伊的區(qū)別。 (2)混合傳播模式 “混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術(shù)語(yǔ),“紅色代碼”利用的是IIS的漏洞,Nimda實(shí)際上是1988年出現(xiàn)的Morris 蠕蟲的派生品種,它們的特點(diǎn)都是利用漏洞,病毒的模式從引導(dǎo)區(qū)方式發(fā)展為多種類病毒蠕蟲方式,所需要的時(shí)間并不是很長(zhǎng)。 (3)多平臺(tái) 多平臺(tái)攻擊開始出現(xiàn),有些惡意代碼對(duì)不兼容的平臺(tái)都能夠有作用。來(lái)自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會(huì)派生exe格式的特洛伊。 (4) 使用銷售技術(shù) 另外一個(gè)趨勢(shì)是更多的惡意代碼使用銷售技術(shù),其目的不僅在于利用受害者的郵箱實(shí)現(xiàn)最大數(shù)量的轉(zhuǎn)發(fā),更重要的是引起受害者的興趣,讓受害者進(jìn)一步對(duì)惡意文件進(jìn)行操作,并且使用網(wǎng)絡(luò)探測(cè)、電子郵件腳本嵌入和其它不使用附件的技術(shù)來(lái)達(dá)到自己的目的。 惡意軟件(malware)的制造者可能會(huì)將一些有名的攻擊方法與新的漏洞結(jié)合起來(lái),制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對(duì)于防病毒軟件的制造者,改變自己的方法去對(duì)付新的威脅則需要不少的時(shí)間。 (5)服務(wù)器和客戶機(jī)同樣遭受攻擊 對(duì)于惡意代碼來(lái)說(shuō)服務(wù)器和客戶機(jī)的區(qū)別越來(lái)越模糊,客戶計(jì)算機(jī)和服務(wù)器如果運(yùn)行同樣的應(yīng)用程序,也將會(huì)同樣受到惡意代碼的攻擊。象IIS服務(wù)是一個(gè)操作系統(tǒng)缺省的服務(wù),因此它的服務(wù)程序的缺陷是各個(gè)機(jī)器都共有的,Code Red的影響也就不限于服務(wù)器,還會(huì)影響到眾多的個(gè)人計(jì)算機(jī)。 (6)Windows操作系統(tǒng)遭受的攻擊最多 Windows操作系統(tǒng)更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺(tái),病毒總是選擇配置不好的網(wǎng)絡(luò)共享和服務(wù)作為進(jìn)入點(diǎn)。其它溢出問(wèn)題,包括字符串格式和堆溢出,仍然是濾過(guò)性病毒入侵的基礎(chǔ)。病毒和蠕蟲的攻擊點(diǎn)和附帶功能都是由作者來(lái)選擇的。 另外一類缺陷是允許任意或者不適當(dāng)?shù)膱?zhí)行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導(dǎo)致兩個(gè)ActiveX控件在信任級(jí)別執(zhí)行,但是它們?nèi)匀辉谟脩舨恢赖那闆r下,執(zhí)行非法代碼。最近的一些漏洞帖子報(bào)告說(shuō)Windows Media Player可以用來(lái)旁路Outlook 2002的安全設(shè)置,執(zhí)行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會(huì)引發(fā)黑客的攻擊熱情。利用漏洞旁路一般的過(guò)濾方法是惡意代碼采用的典型手法之一。 (7)惡意代碼類型變化 此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數(shù)據(jù)類型,欺騙客戶軟件執(zhí)行不適當(dāng)?shù)拇a。 惡意代碼的幾個(gè)相關(guān)問(wèn)題 (1)病毒防護(hù)沒有標(biāo)準(zhǔn)的方法,專家認(rèn)為比較安全的方式是每個(gè)星期更新一次病毒庫(kù),但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫(kù)需要每天更新,而2000年五月,為了對(duì)付LoveLetter病毒的變種,一天就要幾次更新病毒庫(kù)。需要指出的是,有時(shí)候這種頻繁的更新對(duì)于防護(hù)效果的提高很小。 (2)用戶對(duì)于Microsoft的操作系統(tǒng)和應(yīng)用程序抱怨很多,但是病毒防護(hù)工具本身的功能實(shí)在是應(yīng)該被最多抱怨的一個(gè)因素。 (3)啟發(fā)式的病毒搜索沒有被廣泛地使用,因?yàn)榍宄粋(gè)病毒比調(diào)整啟發(fā)式軟件的花費(fèi)要小,而被比喻成“治療比疾病本身更糟糕”。 (4)企業(yè)在防火墻管理,電子郵件管理上都花費(fèi)了不小的精力,建議使用單獨(dú)的人員和工具完成這個(gè)任務(wù)。 (5) 惡意代碼攻擊方面的數(shù)據(jù)分析做得很不夠,盡管有些病毒掃描軟件有系統(tǒng)活動(dòng)日志,但是由于文件大小限制,不能長(zhǎng)期保存。同時(shí)對(duì)于惡意代碼感染程度的度量和分析做得也不夠,一般的企業(yè)都不能從戰(zhàn)術(shù)和戰(zhàn)略兩個(gè)層次清晰地描述自己公司的安全問(wèn)題。 (6) 病毒掃描軟件只是通知用戶改變?cè)O(shè)置,而不是自動(dòng)去修改設(shè)置。 (7) 病毒防護(hù)軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。 (8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問(wèn)題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。 惡意代碼的傳播方式在迅速地演化,從引導(dǎo)區(qū)傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網(wǎng)絡(luò)傳播,發(fā)作和流行的時(shí)間越來(lái)越短。Form引導(dǎo)區(qū)病毒1989年出現(xiàn),用了一年的時(shí)間流行起來(lái),宏病毒 Concept Macro 1995年出現(xiàn),用了三個(gè)月的時(shí)間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數(shù)字背后的規(guī)律是很顯然的:在惡意代碼演化的每個(gè)步驟,病毒和蠕蟲從發(fā)布到流行的時(shí)間都越來(lái)越短。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |