文/黑客基地
当计算机行业等着微软发布可提高安全性能的Windows XP Service Pack 2(SP2)时,黑客们也在等待之中。近来,他们花了12个月时间来掌握移动攻击技术,并准备了摧毁性的武器库,将可能使Windows XP SP2较旧Windows 98更加轻易受到攻击。
安全公司Finjan 软件副总裁Itzy Sabo说:“近几个月出现了一系列新时代的攻击。” Finjan和其它安全公司正在面临新一代安全软件的更大挑战。
新时代的攻击
在病毒攻击的早期,计算机用户往往要与感染有活性病毒的媒介相互作用才能受到病毒的攻击。这些旧攻击技术往往凭借终端用户的疏忽而得手,比如,用户打开一个恶毒的附件,或接受一个畸形的ActiveX控件或一个有毒的Secure Sockets Layer (SSL)安全证书,从而招致感染其计算机和网络。
可现在,终端用户无需做任何错事就可以被黑客捕获。最近的一个研讨会将此称为“新时代网络攻击”。
6月的Scob蠕虫的攻击给了一个暗示:新时代网络攻击已经来临。Scob蠕虫让黑客安装一个密码记载程序,来记录用户的个人信息,包括用户名、密码和信用卡帐号。
Scob蠕虫在首轮攻击中,黑客采用了一个复杂的移动应用技术,包括VBScript、javascript和ActiveX数种脚本语言生成的一个网络攻击武器,可以记录标准的Web协议如HTTP。
这些攻击通过执行一系列的移动代码脚本来感染Web服务器,并向访问这些服务器的用户传播。这些网站的访问者在不知不觉中下载了Scob蠕虫病毒,从而参与到这场病毒的传播中。
这是一个非常复杂的攻击,传统的安全产品没有一个能侦探到它,更不用说反击它了。比如,冒称VBScript运行的病毒是针对微软IIS服务器的,可以给受害的Web服务器上的网页添加一个恶毒的javascript。
阻止新的攻击
大多数杀毒软件通常使用一种叫“签名(signature)”的技术,用来扫描包含有已知病毒行踪的文件和信息包。相反,现在出现的一些锋利无比的安全技术是采用的“行为(behavior)”战术,通过扫描文件和信息包来显示出可疑行为信号。这些可疑行为包括赠与一小段欺诈性的应用程序,来打开电子邮件地址册,并给每一个地址发送电子邮件。
Sabo说:“真正的问题是如何能阻止这些病毒。补丁程序需要时间,因此,杀毒程序就是大多数人的惟一救星。”即使新一代病毒没有出现,旧的杀毒办法也不再可能保护好团体网络和个人电脑。
他说:“传统杀毒软件不能防御恶毒的脚本,因为它不在签名数据库之列。”因这一小小原因,森严的防火墙就不再具备完整的防御功能。防火墙处理数据包时,就不能知道网页在做什么。
黑客与杀毒商博弈
Sabo说,当新的弱点被公布时,黑客与杀毒商就会进行一场竞技比赛。在病毒公布之后的第一紧急时段 D D几小时或几天里,是用户最容易被感染的危险时期。混合攻击较单一攻击引发更多层面的威胁,又由于许多应用都要依赖ActiveX控件才能实现,因此,取消IE下的ActiveX控件功能将无济于事,失效的ActiveX控件也能导致额外的麻烦。
善于捕杀已知病毒的杀毒软件必须建立第一道防线,然后再来分析原因,是因为它不在杀毒软件的签名数据库之列而被漏掉。再接着制定新的防御措施。Finjan的新防御措施是Vital Security(重大安全)。这是一个综合方案,包括URL过滤、垃圾邮件控制、内容过滤和SSL扫描。这能通过分析和监控活动内容的行为来搜查移动代码、脚本、处理过程和各种程序软件。这一技术被称之为“sand-boxing(沙击)”
更好的捕鼠器
Finjan严正地强调,网络攻击的确存在。由于电子邮件过滤技术阻止了几乎所有的传统攻击,因此,黑客开始寻找新的攻击办法和新的攻击目标。黑客似乎已经找到了答案,那就是网络。这些新病毒是如此的危险,以致于他们不需用户做什么就可以感染上病毒。
只有行为防御软件才能击退这些新病毒的攻击。目前,由于绝大多数的通用操作系统都存在这样的漏洞,因此,用户正处在一个非常不利的局面。然而,随着战争的升级,一定会有更多的杀毒厂商会将行为防御技术综合到他们的软件中,确保网络的安全