淺析「瞬時攻擊「的危險性
瞬時攻擊,也就是我們常看到的「零時差攻擊」、「零時攻擊」、「0-day」、「Zero-Day」。主要就是指,黑客利用剛剛發現的系統漏洞尚未被修補上的時機發起的攻擊。
無論你如何勤勉地修補系統和保護你的電腦,它仍然有可能在未曾預見到的攻擊出現後的數個小時內中招。這篇文章將為您講述零時差攻擊的危險性以及它是如何利用安全漏洞的。
在電腦安全方面你並不曾懈怠。你隨時更新應用程序,確保它們都是最新的版本,你也安裝了反病毒軟件。你很在意你瀏覽的是什麼樣的網站,在電腦上安裝的是什麼樣的軟件。
但是去年九月,如果你訪問過由HostGator(位於佛羅里達州的一家頂級主機托管商)托管的博客站點,你的瀏覽器就會立即被重定向到一個受病毒感染的網站,這利用的是一種古老的微軟圖形格式中存在的漏洞。
遭遇到這一切,是因為你已經淪為零時差攻擊的受害者--這種攻擊往往針對某種軟件的漏洞,當漏洞剛被發現不久,還沒有任何補丁文件被發佈並對已知問題進行修復時發起的攻擊就叫做零時差攻擊。這個術語最初用來描述那些 「非正式」(也就是在研究實驗室外)發現的漏洞在補丁發佈的當天就被利用來發起的惡意攻擊,這使得IT專家們沒有時間來堵上這個漏洞。
DL.bitsCN.com網管軟件下載
現在,零時差攻擊對於網上罪犯們的價值正在飛漲中,因為這種攻擊可以侵入最新的、保護得當的系統。例如,去年十月,一個網絡聊天室裡滾動出現一條廣告:一個黑客想出售測試版的Windows Vista裡一個不為人知的漏洞,要價是令人瞠目的5萬美元,雖然Genes無從得知是否有人購買了那些代碼。
「現在有了不少有組織的地下機構,網上罪犯們已經領會到他們能夠靠惡意軟件來發財了。」
惡意軟件可以是個「機器人程序」。例如,它能夠讓你的電腦傳播垃圾郵件,或者加入到拒絕服務式攻擊,把某個網站弄得崩潰而不能提供正常服務。「這比把一位老太太打倒在地,並搶走她的錢包要容易多了,」Marcus說,「這也是非常隱匿的,而且攻擊者可以舒服地坐在星巴克裡發動這一切,卻不會被絲毫察覺。」
在補丁發佈之前就發起攻擊的各種程序裡,最危險的是會偷偷地在後台下載惡意軟件的那些。你只是很平常地瀏覽了某個被植入惡意代碼的頁面,或者是打開了一封受感染的HTML格式電子郵件,就會遭到入侵,你的電腦裡會悄無聲息地被塞入各種間諜軟件,木馬程序或者其它惡意軟件。在2005年底到2006年底之間,網絡罪犯們利用一種不常被人們使用的微軟圖片格式中的漏洞,發動了至少兩起這樣的零時差攻擊,並感染了數百萬台電腦。 bitsCN_com
在HostGator遭到入侵的案例中,被黑客所利用的是IE瀏覽器在處理矢量標記語言(VML)格式的圖片時出現的漏洞,這個漏洞一直沒有引起注意。VML是一種不常見的、用來創建3D圖像的標準格式。
微軟的產品,如IE瀏覽器、Office辦公套件和Windows操作系統,是最常受到零時差攻擊(和其它類型的攻擊)的目標。部分原因是它們佔據了大部分的軟件領域。但是微軟過去犯下的沒能在產品開發時對安全性進行充分考慮的錯誤,也導致了它的軟件產品成為普遍的(也是容易攻入的)攻擊目標。然而,Vista在安全方面有了長足的進步,至少在現在看來是這樣。
僅在2006年,就有四種直接或者間接針對IE 6瀏覽器的零時差攻擊。首先出現的針對IE 6的持續不斷的攻擊利用了在2005年底發現的漏洞。這種漏洞存在於Windows圖元文件格式(WMF),當IE呈現WMF圖片時就有可能受到攻擊。
在針對WMF漏洞的攻擊事件層出不窮並廣為人知後,微軟首先宣佈隨著正常的補丁發佈週期,它將在數周後發佈一個補丁來修復此漏洞 -- 但是由於攻擊事件的不斷出現和公眾的反對聲不斷上漲,它最終不得不在一月初發佈一個計劃外的修復補丁。
然而補丁並沒有讓攻擊停止,這表示出零時差攻擊也可以有著很長的時間效應。與VML文件漏洞一樣,WMF漏洞也會導致電腦被暗中植入惡意程序,這是網上罪犯們最喜歡的攻擊方式之一,受害者無需點擊受感染的圖片就會中招。如果你通過Windows的自動升級功能打上了微軟發佈的補丁,那麼你會沒事。但是很明顯,許多Windows用戶並沒有這樣做。
bitsCN.nET中國網管博客
去年七月份,通過一家為上千個網站服務的廣告發行網絡公司,一幅藏匿著有害代碼、為Deckoutyourdeck.com網站做宣傳的廣告出現在MySpace和Webshots這樣的知名網站裡。藏匿在旗幟廣告裡的惡意程序會把木馬下載到訪問者的電腦裡,它會帶來廣告軟件和間諜軟件。消息人士稱--到補丁在七個月後終於發佈時為止--一共有上百萬人的電腦遭到入侵。
與針對IE瀏覽器發起的具有高危險性的零時差攻擊不同,專門針對Word與其它Office軟件的攻擊不能通過下載來發起攻擊。而主要依靠誘使受攻擊者雙擊打開電子郵件附件--這通常用於有目的地攻擊某家特定的公司,即使是再小心的用戶也有可能不經意就雙擊打開了附件。
向目標企業的僱員發送假的(或者「欺騙性的」)郵件,把郵件偽裝得看上去像是來自某個同事或者是該企業內的其它來源,黑客就有很大機會成功誘使收件人打開附件裡的Word文檔。而如果郵件看上去像是來自於某個不知詳情的發件人,機會則小得多。
12月中旬,在公佈Excel和PowerPoint等Office軟件含有可能被黑客利用發起攻擊的漏洞後,微軟再次確認Word裡有兩個漏洞也可能被黑客利用,並發起「危害非常有限並且目的明確的攻擊」。它向用戶發出警告不僅僅要警惕陌生發件人郵件裡附件,同時也要對來自熟悉發件人的、未經請求主動提供的附件保持足夠的警覺。
