【IT168专稿】最新一代的恶意软件变化多端,它们具有很强的适用性,能够击败最新的恶意软件检测及清除措施。那么谁在编写更狡猾的变种?IT安全界又该如何考虑应对这种"更会变形"的恶意软件?不妨了解一下有什么办法可以阻止这种不断发展的恶意软件,以及一些公司是如何保护自己的。
所有病毒和蠕虫究竟来自哪里?去年算是太平年――没有出现类似前一年爱虫(Love Bug)、悲惨命运(Mydoom)、网络天空(Netsky)或者大无极(Sobig)大规模发作的情况。实际上,2006年是头一回没有发生病毒或者蠕虫大规模发作的年份。安全专家预测这种趋势会继续下去。
但自然界里是没有真空的。如今,恶意软件对危害性最大的网上攻击起到了推波助澜的作用――这些攻击常常旨在窃取别人的个人财务信息和公司的知识财产。这种不怀好意的软件结合了rootkit、特洛伊木马程序和操作系统的后门等手段,利用计算机的漏洞窃取信息。恶意软件通过电子邮件、借助浏览器或者在互联网上传播,往往利用了操作系统和应用程序的已知漏洞。
在恶意软件编写者与销售软件阻止这类攻击的安全公司之间的长期较量中,前者往往胜出一筹。确实,最新一代的恶意软件变化多端,它们具有很强的适用性,能够击败最新的恶意软件检测及清消除措施。安全研究人士正在用各种办法来处理恶意软件问题,常常用不了一天就能阻止变种。但是这就能足以保护公司网络、让受监控公司遵从法规吗?
恶意软件的工作方式到底是怎样的呢?下面是一种场景:用户通过电子邮件收到特洛伊木马程序后运行,或者浏览了利用已知ActiveX漏洞的某个网站,偷偷把特洛伊木马代码植入到用户的PC上、然后执行代码。这个程序悄悄运行,用户往往并不知道出了什么异样。不过在后台,这个程序可能打开后门进入到互联网中继闲聊(IRC)频道;下载另外的代码模块;等待指令决定何时以何种方式从安全遭到破坏的PC(即"僵尸PC")发动网络钓鱼攻击或者发送垃圾邮件;要不就是在PC上植入名称不同的多个拷贝,那样即使一旦被检测出来,也更难清除干净。研究人士称由僵尸PC组成的网络为僵尸网络(botnet)。
执法人员认为,如今的恶意软件攻击和僵尸网络绝大部分与为数不多的有组织的犯罪团伙有着密切关系。赛门铁克安全响应中心的Dave Cole说:"犯罪活动侧重于这几个方面:窃取别人的身份和登录资料;还注重垃圾邮件机器人(spambot)――这种恶意软件既具有真正入侵性的行为,同时把PC变成了垃圾邮件加农炮(spam cannon)。"
恶意软件相对比较常见。安全公司MessageLabs的反病毒专家既"想象工程师"Alex Shipp指出:"每天都会出现一到三个新版本的僵尸网络恶意软件。"如今的所有电子邮件中大约2%携带恶意软件,而80%是垃圾邮件。两者往往狼狈为奸。
恶意软件变化多端
在过去,恶意软件的生死好比一部二流科幻电影中的情节:头目被杀死后,入侵随之消停。而如今,即使运行僵尸网络的负责指挥与控制的那台计算机(有些人称之为"母舰")没有联网,大多数恶意软件也能存活下来。就拿SpamThru来说吧,这种基于图片的垃圾邮件通过预定的IRC频道来接收指令。不过,SpamThru也与僵尸网络中的其他计算机保持联系;必要时可以接收来自这些计算机的指令,包括换用新IRC频道的指令。
另外,最新的恶意软件变得更难检测出来、危害性更大、也更难清除。就拿Rustok(这是一种垃圾邮件机器人)来说。这种恶意软件利用高级的rootkit技术,即使在生成大量的垃圾邮件时也能保持相对隐蔽的状态。Cole指出:"设计它的人基本上对反病毒软件和反间谍软件公司如何进行工作有一深入了解;因而,检测rootkit的大多数技术奈何不了这种恶意软件。"
这表明,攻击者在推迟自己的行踪被安全研究人员发现方面变得更聪明了。举例说,许多研究人员利用虚拟机来分析可疑代码。于是,攻击者在越来越多地设计这样的恶意软件:在虚拟机环境下运行或者被调试程序扫描时,表现得"循规蹈矩"。稍加变动,某种恶意软件甚至还能利用虚拟机的已知漏洞,居然感染研究人员的PC。对此,反病毒公司正在设计自己的虚拟机沙箱用来分析可疑代码,竭力保护源代码,那样恶意软件编写者就无法研究源代码了。
攻击者还越来越多地使用能够压缩("包装")恶意代码的"变形释放器"(polymorphic dropper)来分发恶意软件,每次分发都使用稍有不同的算法。Cole说:"包装原理类似邪恶版的WinZip。"包装后的每份恶意软件都很独特,也不符合已知恶意代码的现有特征。虽然研究人士终究会打开包并发现这是恶意软件,但这需要时间和计算资源。
在研究人员发现新的恶意软件到更新扫描器的这个间歇,有些对付恶意软件的软件也会监视PC的行为。某个未知程序是否企图篡改注册表、装入自己的内核,或者把什么东西植入到用户的开始文件夹上?如果是这样,对付恶意软件的软件可能会阻止可疑活动,认为该程序是rootkit。
谨防针对性攻击
大多数僵尸网络的目标是获取消费者的信息:银行账号、信用卡号以及密码等等。相比之下,"公司网络主要担心的是工业间谍活动,"Shipp指出。举例说,攻击者可能会精心编写一种全新的特洛伊木马程序,以攻击某一家公司;然后只要通过电子邮件,把程序的几个拷贝分发出去。恶意软件扫描器通常发现不了这种一次性代码,因为它不符合任何已知恶意特征。
要谨防这种针对性攻击;如果贵公司显然还没有受到过攻击,更是要担心。Skipp说:"如果你在过去的一年里没有检测到一起这样的攻击,那么有可能其实遭到了这种攻击。我们跟踪分析了12000家公司,结果发现其中很大一部分每年都遭到攻击,尤其是规模比较大、比较受关注的公司。"他说,MessageLabs在2005年发现网上发生的针对性攻击每周平均只有一起;到了2006年底,每天却能发现两起。
受监管环境下的恶意软件
在受监管环境下,恶意软件、尤其是使用恶意软件的针对性攻击尤其需要关注。以《萨班斯-奥克斯利法案》为例,该法案要求采取措施,对上市公司的财务报告流程进行控制。Webroot公司的首席技术官Gerhard Eschelbeck问:"如果我是财务工作团队,感染上了间谍软件,如何才能尽量满足《萨班斯-奥克斯利法案》的法规遵从要求呢?"确实,特洛伊木马程序有可能不断盗取每一份保存到首席财务官PC上的每个电子邮件或者Office文档。
为了遵守诸多数据保护法律,面对恶意软件攻击,保存消费者个人信息的公司就可能需要通知数据泄密事件。Cole说:"如果你已经遭到了针对性攻击,随后攻击者侵入网络、登录到机器,开始寻找客户信息,这就绝对需要披露事件。"
Vista并非灵丹妙药
微软公司的最新一代操作系统:Vista会有助于防范恶意软件攻击吗?Vista中备受关注的一项新功能:用户账户控制(UAC)要求用户明确批准某些活动,有时候必须输入管理员密码,而这有助于击败恶意软件。不过,这项特性更有可能被消费者(假设他们没有禁用该功能)而不是被企业所使用。的确,许多IT管理员可能会牢牢控制Vista,防止用户进行需要管理员级别访问权的操作,比如安装软件,这应该有助于击败一些恶意软件。
不过总的说来,安全专家们认为,攻击者有可能找到Vista中的新漏洞。同时,以前的几种Windows操作系统仍会广泛存在多年,无疑继续会是用来发动恶意软件攻击的平台。
打击企业恶意软件
想击败恶意软件吗?Webroot的Eschelbeck建议:那就要采取三管齐下的方法,即管理漏洞;利用工具来保护PC和服务器远离恶意软件;并且教育用户,尤其是教他们不要打开来历不明的附件、如何避免网络钓鱼攻击。
他指出:"如今,我们把时间主要用在了对付恶意软件这部分上,其实恶意软件与漏洞管理环节同样有着密切关系。如今有许多恶意软件是由未及时打上补丁的漏洞所使用及触发的――无论是IE浏览器,还是其他任何软件。"因而,如果公司能尽快给漏洞打上补丁,有助于阻止大部分恶意软件,甚至是最会变身的那些恶意软件。至少,这会是安全界在与恶意软件之间这场漫长的数字化战争中取得的一个小胜利。
