新時代的黑客攻擊技術解析
安全公司Finjan 軟件副總裁Itzy Sabo說:「近幾個月出現了一系列新時代的黑客攻擊。」 Finjan和其它安全公司正在面臨新一代安全軟件的更大挑戰。
新時代的攻擊
在病毒攻擊的早期,計算機用戶往往要與感染有活性病毒的媒介相互作用才能受到病毒的攻擊。這些舊攻擊技術往往憑借終端用戶的疏忽而得手,比如,用戶打開一個惡毒的附件,或接受一個畸形的ActiveX控件或一個有毒的Secure Sockets Layer (SSL)安全證書,從而招致感染其計算機和網絡。
可現在,終端用戶無需做任何錯事就可以被黑客捕捉。最近的一個研討會將此稱為「新時代網絡攻擊」。
6月的Scob蠕蟲的攻擊給了一個暗示:新時代網絡攻擊已經來臨。Scob蠕蟲讓黑客安裝一個密碼記載程序,來記錄用戶的個人信息,包括用戶名、密碼和信用卡帳號。
Scob蠕蟲在首輪攻擊中,黑客採用了一個複雜的移
這些攻擊通過執行一系列的移
這是一個非常複雜的攻擊,傳統的安全產品沒有一個能偵察到它,更不用說反擊它了。比如,冒稱VBScript運行的病毒是針對微軟IIS服務器的,可以給受害的Web服務器上的網頁添加一個惡毒的javascript。
阻止新的攻擊
大多數殺毒軟件通常使用一種叫「簽名(signature)」的技術,用來掃瞄包含有已知病毒行蹤的文件和信息包。相反,現在出現的一些鋒利無比的安全技術是採用的「行為(behavior)」戰術,通過掃瞄文件和信息包來顯示出可疑行為信號。這些可疑行為包括贈與一小段欺詐性的應用程序,來打開電子郵件地址冊,並給每一個地址發送電子郵件。
Sabo說:「真正的問題是如何能阻止這些病毒。補丁程序需要時間,因此,殺毒程序就是大多數人的惟一救星。」即使新一代病毒沒有出現,舊的殺毒辦法也不再可能保護好團體網絡和個人電腦。
他說:「傳統殺毒軟件不能防禦惡毒的腳本,因為它不在簽名數據庫之列。」因這一小小原因,森嚴的防火牆就不再具備完整的防禦功能。防火牆處理數據包時,就不能知道網頁在做什麼。
黑客與殺毒商博弈
Sabo說,當新的弱點被公佈時,黑客與殺毒商就會進行一場競技比賽。在病毒公佈之後的第一緊急時段 D D幾小時或幾天裡,是用戶最輕易被感染的危險時期。混合攻擊較單一攻擊引發更多層面的威脅,又由於許多應用都要依靠ActiveX控件才能實現,因此,取消IE下的ActiveX控件功能將無濟於事,失效的ActiveX控件也能導致額外的麻煩。
善於捕殺已知病毒的殺毒軟件必須建立第一道防線,然後再來分析原因,是因為它不在殺毒軟件的簽名數據庫之列而被漏掉。再接著制定新的防禦措施。Finjan的新防禦措施是Vital Security(重大安全)。這是一個綜合方案,包括URL過濾、垃圾郵件控制、內容過濾和SSL掃瞄。這能通過分析和監控活動內容的行為來搜查移
更好的捕鼠器
Finjan嚴正地強調,網絡攻擊的確存在。由於電子郵件過濾技術阻止了幾乎所有的傳統攻擊,因此,黑客開始尋找新的攻擊辦法和新的攻擊目標。黑客似乎已經找到了答案,那就是網絡。這些新病毒是如此的危險,以致於他們不需用戶做什麼就可以感染上病毒。
只有行為防禦軟件才能擊退這些新病毒的攻擊。目前,由於絕大多數的通用操作系統都存在這樣的漏洞,因此,用戶正處在一個非常不利的局面。然而,隨著戰爭的升級,一定會有更多的殺毒廠商會將行為防禦技術綜合到他們的軟件中,確保網絡的安全。
