電腦病毒安全威脅七大特征
下面由學習啦小編給大家介紹計算機病毒發(fā)展史話 新興安全威脅七大特征,希望能讓大家認識到病毒,希望對你有幫助!
電腦病毒安全威脅七大特征:
■ 歷史悠久的自我防御技術(shù)
早自過去的檔案型、開機型或宏型病毒,即開始采用加密、壓縮、自我編碼、變體引擎(McTation Engine或Polymorphic Engine)、更名感染等技術(shù),藉此逃避防毒軟件的偵測及追捕。這些病毒自我防御技術(shù),仍為目前流行的惡性程序所沿用。
除此之外,一些惡性程序還具備自我檢查及反防毒軟件(Anti-Antivirus)的能力,他們會在計算機被啟動的同時,卸載系統(tǒng)中的防毒軟件或防火墻軟件。
不過,目前惡性程序的發(fā)展趨勢似乎有了轉(zhuǎn)變,雖然過去的自我防御功能仍繼續(xù)沿用,但已非關注的重點。
反之,這些惡意程序不再在乎是否能被防毒軟件或其它安全配備偵測阻擋,因為再怎么防,不用多久,資安廠商仍很快就有因應措施及解決方案的推出。所以他們追求的重點已轉(zhuǎn)變成「快、狠、準」,也就是盡可能地在最短的時間內(nèi),以迅雷不及掩耳、秋風掃落葉的方式,造成一定的影響或達到一定的目的。也因為如此,許多惡意程序甚至設定自我毀滅時間。
■ 令人眼花撩亂的龐大變種
變種的老祖宗應該可以上溯自1997、98年間甚為流行的千面人病毒(Polymorphic/Mutation Virus),該病毒具備自我編碼的能力,每感染一個檔案,其病毒碼都不一樣?;旧希嫒藨獨w類成多形病毒的一種。
雖然千面人病毒具備變幻莫測的外表,但它仍有破綻,就是每個變換后的病毒碼,其程序開頭都相同,所以仍然有跡可循。為了解決這個問題,網(wǎng)上遂有了.OBJ的變體引擎子程序供人下載撰寫多形病毒??傊捎谧凅w引擎及病毒原始碼的公開,所以各式各樣的變種因而斥充在網(wǎng)絡上。
如今的惡性程序除了展開全球性傳播的"水平繁衍"外,并藉由不斷的變種進行延綿好幾十代的"垂直繁衍"。更可怕的是,這些惡性程序還結(jié)合不同的混合式攻擊技術(shù),讓每代的變種各具不同"邪惡"特性及破壞力,或是每隔一代海納百川地加入新的"毒術(shù)"。
過去病毒多半接續(xù)個兩三代就"over"了,如今惡意程序傳宗接代的能力一個比一個強,動輒幾十代,甚至打破30代大關,例如培果病毒(Bagle)到目前為止共有37代變種,實在驚人。
若以平均天數(shù)來看,早先的頑皮熊病毒,從2002年10月第一代出現(xiàn)起,到2004年9月第四代止,大約平均每176天才推出新的變種。如今像是Bagle、MyDoom、NetSky及Korgo等蠕蟲,平均不到10天就推出新的變種。其中,最可怕的莫過于Korgo蠕蟲,在短短三個月多內(nèi),就接連繁衍出高達27代的變種,換句話說,其不到3天就變種一次。
感覺起來,這些惡意程序彷佛在比誰的生育率比較強似的,事實上Bagle、Netsky和MyDoom的確一直在互別苗頭,不但相互爭奪變種的數(shù)目高低,甚至相互攻擊(例如Bagle變種??砃etsky,而Netsky也專門找MyDoom下手)。
■ 亂"件"齊發(fā)的垃圾郵件
對于惡意程序而言,電子郵件彷佛就是其增加其功力的大補丸。為了達到最終感染及傳播的目的,黑客多半會采用社交工程學(Social Engineering)來引誘收信者打開附件或連結(jié),進而啟動或下載攻擊程序。此外,過去也有不少病毒郵件,進而發(fā)展出不用開啟郵件及附件,只要瀏覽就會中毒的技術(shù)。
在信件傳播方面,由于采用微軟訊息應用程序接口(MAPI)來發(fā)病毒郵件,很容易會被防毒軟件攔截到,所以黑客多半都會改用專屬的SMTP外寄郵件服務器,繞過防毒軟件的攔截網(wǎng)來發(fā)送病毒信。
自從Melissa宏病毒開啟惡意程序搭乘電子郵件的首例之后,許多惡意程序,尤其是造成重大影響的蠕蟲幾乎都是以垃圾郵件為作惡的工具,垃圾郵件的問題也開始被廣泛注意。
史上利用垃圾郵件最徹底、最成功的蠕蟲當推Sobig.F,該蠕蟲每隔幾秒鐘就會自動向受害計算機中的所有通訊簿名單發(fā)出毒件,因而登上史上傳播最迅速的寶座,莫怪乎有人稱其為史上最強力的超級郵件發(fā)送機(Mass Mailer)。
■ 難以抗拒的誘惑-社交工程
社交工程(Social Engineering)原本是一種源自于飛客(Phreak)的詐騙手法,對于該手法讀者應該不致于太陌生,因為之前沒多久,相信很多人應該曾接到一些詐騙電話,像是謊稱自己是警察人員,并告知接聽者的銀行賬號被盜領,或是"你兒子現(xiàn)在在我手上,快拿兩百萬過來"等云云,這些就是運用社交工程的顯例。
基本上,社交工程是利用人性弱點,并透過威脅、利誘的手法來進行騙取對方信任或遵從某個動作的技術(shù)。對于大部分的企業(yè)而言,技術(shù)面的問題好解決,但是牽涉到人性面的問題就相當棘手難防了,也因為如此,社交工程已成為蠕蟲、特洛伊木馬等惡意程序慣用的技術(shù)之一。
尤其對個人而言,面對每日眼花瞭亂的郵件實在很難防,而網(wǎng)上琳瑯滿目的MP3音樂、共享軟件或圖文件的誘惑力更難扺擋,偏偏這些東西是黑客運用社交工程的最佳試煉場。
■ 有洞就鉆
在過去,軟件上的臭蟲(Bug)頂多會造成軟件或系統(tǒng)穩(wěn)定性或兼容性上的問題,但如今卻成為黑客攻擊的主力目標。賽門鐵克亞太區(qū)技術(shù)安全顧問林育民表示,如今許多軟件及平臺都存在許多漏洞,而后一版本的軟件大多仍會繼續(xù)沿用之前版本的組件,所以漏洞有可能也會流傳到不同版本之中。如此一來,便成為黑客及蠕蟲攻擊的目標。所以系統(tǒng)弱點及軟件漏洞已成為目前計算機安全上的重大課題。
根據(jù)Gartner Group今年4月的分析報告指出,2003年有25%的網(wǎng)絡攻擊事件來自于已知漏洞。面對漏洞問題,唯一最直接的解決方法就是下載廠商提供的修補程序(Patches)。對于企業(yè)而言,由于軟件系統(tǒng)種類繁多、數(shù)量龐大,所以必須搭配漏洞及弱點管理工具,以進行固定的掃描、偵測及修補作業(yè)?! 〉拔脑岬絊ymantec的研究報告,目前漏洞發(fā)布與相關蠕蟲攻擊的平均時間差只有短短的5.8天,而Witty蠕蟲甚至締造了2天的驚人紀錄,未來隨著蠕蟲技術(shù)的不斷突破,平均時間差只會愈來愈短。今后,要與黑客一比搶攻漏洞之高下,絕對是今后企業(yè)及資安廠商努力的重點之一?! τ趥€人而言,修補漏洞一直是件不得不做,但又極其困擾的事情。最主要是因為操作系統(tǒng)會隨著軟件、游戲或硬件的安裝、解除,檔案的進進出出或其它不當?shù)牟僮鞫K至變慢、甚至當機的地步,換句話說,為求系統(tǒng)穩(wěn)定,操作系統(tǒng)每隔一段時間是要重灌的。也因為如此,重灌計算機也意味著要重灌之前所有安裝過的修補程序。 如果使用者是透過在線修補,那么在冗長的修補過程中難保不會被蠕蟲入侵或被種下后門。如果透過已下載的修補檔來修補,雖然較安全,但數(shù)量龐大的修補作業(yè)可是相當累人的事情。
雖然操作系統(tǒng)中也有提供系統(tǒng)還原的功能,只要選擇較后面的還原點,可以減少修補作業(yè)的次數(shù)。但使用者要如何確認哪一個還原點才是完全安全干凈的呢?總而言之,對個人來說,修補漏洞絕對是件既困擾又無奈的事情。
另外要補充強調(diào)的是,使用者千萬不要因為麻煩或抱著僥幸心態(tài),認為之前舊漏洞不補也沒關系,而只要修補最新漏洞即可。事實上,舊漏洞才是黑客最愛,根據(jù)Gartner Group今年4月的分析報告指出,2003年有25%的網(wǎng)絡攻擊事件來自于已知漏洞。所以凡是系統(tǒng)或軟件有任何漏洞,都是非補不可的。
■ 就是要你消受不起-DDoS
阻斷式服務攻擊(Denial-of-Service;DoS)已成為目前黑客及蠕蟲的主要攻擊方式之一。透過DoS攻擊,網(wǎng)站會被大量而密集的封包所淹沒,結(jié)果導致網(wǎng)站用戶無法正常進入網(wǎng)站,享受應有的內(nèi)容或服務。
如今的蠕蟲、特洛伊木馬或BOT遙控程序則采用更大規(guī)模的分布式阻斷服務攻擊(Distributed DoS;DDoS)手法,形成對企業(yè)、網(wǎng)站更長時間的"封鎖"及更大的損失。
所謂DDoS就是在網(wǎng)絡上透過搜尋、掃描漏洞及殖入后門等方式,以整合更多的攻擊來源,以對主要目標展開更猛烈持久的服務封鎖。如此的好處是,可以結(jié)合更大的攻擊能量,同時真正發(fā)號司令的黑客不容易被抓到。BOT遙控程序就是透過網(wǎng)絡掃描、感染更多的殭尸計算機,形成龐大的殭尸網(wǎng)絡大軍,然后針對主要目標展開猛烈的DDoS攻擊?! ∈飞现腄DoS攻擊事件,像是2001年的紅色密碼(Code Red),即為一只曾對微軟IIS Server展開DDoS的蠕蟲;2003年疾風蠕蟲(MSBlast.A)則透過RPC DCOM緩沖區(qū)溢位的弱點,攻擊微軟Windows Update 網(wǎng)站;2004年1月底,Yahoo、Google等搜尋引擎網(wǎng)站更受到MyDoom蠕蟲的DDoS攻擊,而造成相當大的損失。
■ 陸??章?lián)合大進擊-混合式攻擊
自從2001年Code Red率先采用混合式攻擊技術(shù)以來,混合式攻擊已成為目前惡意程序發(fā)展中的最大特色及慣用手法。透過不同攻擊技術(shù)的結(jié)合,惡意程序得以用更快的傳播速度、更多樣化的管道及更強的破壞力展開突擊。目前"純種"的惡意程序已經(jīng)愈來愈少,即使是也多半會在變種的下幾代中不斷添加新的攻擊技術(shù)及特性。
就各惡意程序的特性而言,病毒具備其它惡意程序所沒有的感染力,蠕蟲則提供無人能敵的主動散播能力,至于遠程搖控能力最強的當推特洛伊木馬。而混合式攻擊就是截長補短地整合病毒、蠕蟲、木馬、間諜程序或網(wǎng)絡釣魚的特性,以及網(wǎng)絡漏洞、系統(tǒng)弱點掃描的新一代惡意程序技術(shù)。
一只混合式攻擊程序可能會透過不同的媒介及管道,來進行陸??章?lián)合多點大進擊,換句話說,它可能一方面透過垃圾郵件傳播,一方面在網(wǎng)上掃描并寄生在有弱點的主機上,一方面在網(wǎng)絡上"裝可愛"成可供人們下載的MP3、游戲或軟件,或是搜尋感染網(wǎng)絡芳鄰上的分享目錄夾,抑或提高來賓賬戶的權(quán)限等級等。由于攻擊來自于四方八面不同的管道,所以單靠傳統(tǒng)單一的防毒軟件是無法有效因應的,目前資安廠商則主張多層次的主動防御方案以為因應。
對于混合式攻擊,趨勢科技亞太區(qū)
看過“電腦病毒安全威脅七大特征 ”人還看了: