解析惡意代碼傳播趨勢
惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,后門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間并不是很長。
(3)多平臺
多平臺攻擊開始出現,有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在于利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,并且使用網絡探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟件(malware)的制造者可能會將一些有名的攻擊方法與新的漏洞結合起來,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)服務器和客戶機同樣遭受攻擊
對于惡意代碼來說服務器和客戶機的區別越來越模糊,客戶計算機和服務器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統缺省的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限于服務器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平臺,病毒總是選擇配置不好的網絡共享和服務作為進入點。其它溢出問題,包括字符串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。
另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控件在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟件執行不適當的代碼。
惡意代碼的幾個相關問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對于防護效果的提高很小。
(2)用戶對于Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟件的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業在防火墻管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟件有系統活動日志,但是由于文件大小限制,不能長期保存。同時對于惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟件只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟件本身就有安全缺陷,容易被攻擊者利用,只是由于害怕被攻擊,病毒軟件廠商不愿意談及。
(8)許多的軟件都是既可以用在安全管理,也可以用在安全突破上,問題在于意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網絡傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背后的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
【編輯推薦】
