目前恶意软件技术综述
- 格式:doc
- 大小:45.50 KB
- 文档页数:5
目前恶意软件技术综述 计算机科学与教育软件 网络工程092 尹韵 0923010028 摘要: 随着网络通讯技术的飞速发展,计算机已逐渐渗透到人们社会生活的各个领域,与此同时出现的问题是恶意软件的产生和迅速蔓延使计算机系统的安全受到极大的威胁。随着恶意软件采用的新技术不断出现,计算机的防护手段也不断更新和发展。从恶意软件的定义入手,综述恶意软件的特点及其防护措施。
关键词: 安全,恶意软件,攻击,防护。
正文: 恶意软件是一个综合的名词,用来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和木马。这些恶意软件通常来源于一些恶意网站,或者从不安全的站点下载游戏或其它程序时,往往会连合恶意程序一并带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时,用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间,用户网上的所有敏感资料都有可能被盗走,比如银行帐户信息,信用卡密码等等。 其中木马也叫特洛伊木马,它们看上去无害,却包含了破坏运行程序系统的隐藏代码。木马通过在其运行时传递恶意负载或任务达到目的。蠕虫则是使用自行传播的恶意代码,它通过消耗网络或者本地系统资源导致拒绝服务,除了复制,蠕虫也可能传递负载。病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序,以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。 通过Anubis观测到的样本的文件、注册表、网络行为以及僵尸网络特征,来提取不同来源的众多恶意程序的一般性行为。包括:安装windows驱动软件、安装windows服务、修改hosts文件、新建文件、删除文件、修改文件、安装ie bho、安装ie工具条、显示图形窗口、网络通讯、写入标准错误、写入标准输出、修改注册表值、新建注册表键、新建进程等等。 详细分析新建文件的时候,我们发现这些文件主要分为两种类型。一种是可执行文件,典型的原因是恶意程序需要复制或移动它的二进制文件到另一个位置(比如Windows系统文件夹),这个二进制文件常常是一个变异后的新文件。经统计,37.2%的的样本会创建至少一个可执行文件,然而有趣的是,样本中只有23.3%(创建可执行文件的样本的62%)选择Windows目录或其子目录作为目标文件夹。一个很大的比例——15.1%会在用户文件夹(Document and Settings目录下)创建可执行文件。这很有趣,并且我们可以推断,今后这种在普通用户权限下(不能修改系统文件夹)能够成功执行的恶意程序将日益增多。 第二种类型的文件包括非可执行文件,样本中有63.8%创建了至少一个这种文件。这些文件有临时文件、必要的库文件(DLLs)和批处理脚本,它们中的多数在Windows文件夹(所有样本中的53%)或用户文件夹(可以在不同位置产生多个文件的样本中的61.3%)。值得注意的是,会有相当数量的临时Internet文件被IE生成(事实上,21.3%
的样本的执行会产生至少一个这样的文件)。由于IE(更精确地说,ierturil.dll里的导出函数)在下载数据时会产生这些文件,而恶意程序这经常用IE下载额外组件。而大多数DLLs会被放入Windows系统文件夹。除了文件系统行为,还有注册表行为。最常见的就是关闭windows防火墙。网络行为就比较多了,包括:监听端口、TCP通讯、UDP通讯、DNS请求、ICMP通讯、HTTP通讯、IRC通讯、SMTP通讯、SSL、地址扫描、端口扫描。每类恶意软件可以表现出来的各种特征通常非常类似。例如,病毒和蠕虫可能都会使用网络作为传输机制。然而,病毒会寻找文件以进行感染,而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。
因为恶意软件由多种威胁组成,所以需要采取多处方法和技术来保卫系统。如采用防火墙来过滤潜在的破坏性代码,采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络,加强对破坏性代码的防御能力。 一般来说,可以采取如下措施。第一点,让用户正确使用电子邮件和Web。具体来说就是不知道邮件的来源和附件的属性,就不要打开邮件中的附件,不要下载和安装未授权的程序,提防用户点击受感染连接的伎俩,让用户了解新的攻击手段,坚决执行安全策略和建议。 确保所有系统和服务器上安装最新的浏览器、操作系统、应用程序补丁,并确保垃圾邮件和浏览器的安全设置达到适当水平。确保安装所有的安全软件,并及时更新并且使用最新的威胁数据库。恶意软件威胁经过几年的发展已经成为一种强大的势力,更确切地说它已经成为一种受经济利益驱使的商业活动;而反恶意软件厂商由于受到各种因素的制约,应对和反击措施相对被动。并且前者在暗处,后者在明处,形式对反恶意软件的开发者不利。但两种力量的斗争将持续下去。 尽管如此,这么多年以来恶意软件的制造技术没有太大的变化。20世纪80年代恶意软件的技术跟现在开发恶意软件的技术差不多。变化的只是恶意软件的开发和执行的速度,原因是自动化工具的出现。以前制作的时候只能一个接一个,现在就是流水线的大规模生产。
专家称,传统的病毒库保护方式根本就难以应对恶意软件的攻击。恶意软件一直在变化,即使是侦察到,它们也会自动调整和变化。依靠单独的技术根本就难以防范危险。 恶意软件威胁网络和系统漏洞的方式也在改变。例如过去依靠邮件附件到现在转向网络使用社交网络引诱下载感染的文件和应用程序,或是直接让人们点击恶意网站下载恶意软件到用户的系统中。
这一问题可能会变得越来越糟糕。有机构曾预测,恶意软件将会无所不至,包括智能手机,Vista,MacOSX和其它的操作环境都会逐渐吸引恶意软件的兴趣。还有人预测网络结构也会成为恶意软件关注的焦点,譬如,路由器,域名服务器,搜索引擎等。 如果企业还没有升级防御措施的话,现在就得注意了。网关和扫描是新的保护方式,此外还要注意终端设备保护,譬如台式机和移动设备的保护。 特别在是社交网站上日益泛滥的恶意软件的出现,企业也要使用相关的识别软件。最后,我们不得不说,在恶意软件的防范中最弱的一个环节就是用户,如果对这一问题不加以重视的话,再强的马奇若防线都会被突破。
恶意软件生态的复杂性也在改变。以前的变体很少,现在动辄成百上千的形形色色的变体。木马,僵尸病毒,蠕虫,rookit,间谍软件,还有一些危害性相对较小的广告插件实际上也是恶意软件,形式规模各异。 但是,最令人害怕的变化还是恶意软件的来源问题。就在几年以前还只是一些人的恶作剧,现在是一个个有组织的犯罪集团。根据IT专家网的调查,由于受经济利益的驱动,恶意软件写手的方法主要是密码盗取,键盘记录和其它一些行为。2006年,平均每个月有140万次攻击。 因此,现在的恶意软件攻击变得更加具有目的性。许多病毒的出现远远高于病毒库中已存在的样本,企业只有在中招之后才能防范。 随着Web2.0社交网络的日益流行,譬如,YouTube和MySpace,它们依赖的某种形式的交互功能实际上增加了感染恶意软件的风险。
而针对以上种种问题,我们需要首先弄清楚恶意软件的传输机制,好从中切断恶意软件的传播。攻击可以使用一个或多个不同方法,在计算机系统之间尝试并复制;本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。
可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文件传输。此机制开始于软盘,然后移动到网络,目前正在寻找新的媒体,例如,通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的恶意软件那样快,但安全威胁却始终存在,而且难以完全消除,因为系统之间需要交换数据。
网络共享一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机制,而此机制所具有的潜力可能会超出可移动媒体的能力,从而可以传播恶意代码。由于在网络共享上实现的安全性级别很低,因此会产生这样一种环境,其中恶意软件可以复制到大量与网络连接的计算机上。这在很大程度上替代了使用可移动媒体的手动方法。
网络扫描。恶意软件的编写者使用此机制来扫描网络,以查找容易入侵的计算机,或随意攻击 IP 地址。例如,此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址,以查找容易入侵的计算机进行攻击。
对等 (P2P) 网络。要实现 P2P 文件传输,用户必须先安装 P2P 应用程序的客户端组件,该应用程序将使用一个可以通过组织防火墙的网络端口,例如,端口 80。应用程序使用此端口通过防火墙,并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取,并且恶意软件编写者可以直接使用它们提供的传输机制,将受感染的文件传播到客户端硬盘上。
电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人,而恶意软件作恶者又无须留下自己的计算机,这使得电子邮件成为一种非常有效的传输方式。使用此方式哄骗用户打开电子邮件附件要相对容易一些(使用社会工程技术)。因而,许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。有两种使用电子邮件作为传输机制的基本类型的恶意软件:
邮件程序。这种类型的恶意软件通过使用宿主上安装的邮件软件(例如,Microsoft Outlook? Express),或使用其自身的内置简单邮件传输协议 (SMTP) 引擎,将其自身作为邮件发送到限定数量的电子邮件地址。
大量邮件程序。这种类型的恶意软件使用宿主上安装的邮件软件或其自身的内置 SMTP 引擎,在受感染的计算机上搜索电子邮件地址,然后将其自身作为邮件大量发送到这些地址。
远程利用。恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。此行为通常可以在蠕虫中见到;例如, Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。此蠕虫生成了一个缓冲区溢出,允许一部分系统内存被可在和 SQL Server 服务相