新兴科技与网络安全威胁(1)

http://netsecurity.51cto.com 2007-03-26 16:03 佚名 51CTO.com 我要评论(0)

摘要：本文首先介绍了新兴科技与网络安全威胁，接着描述了几种病毒威胁合恶意程序。最后是趋势科技的建议。
标签：宏病毒恶意程序傀儡程序 Rootkit 趋势解决趋势案例趋势问题

新兴科技与网络安全威胁
2006 年我们再度发现档案感染型病毒的踪迹。档案感染型病毒会在其它执行文件中插入恶意程序代码，使它们的附着力更强，比一般的蠕虫与木马程序更难移除。较老旧的档案感染型病毒 (早在数年前就已跟不上时代潮流) 已被行为模式大幅翻新的新世代所取代。最新型态的档案感染型病毒动机较符合现代潮流，且更容易预测：窃取金钱。今日的档案感染型病毒会悄悄潜入受害者的计算机系统中，而它们唯一的目的就是散播木马犯罪程序，今年出现在中国的 PE_DETNAT与 PE_LOOKED 家族便可佐证。透过这些档案感染型病毒散播的木马程序会窃取在线游戏的账户信息；歹徒会利用这些账户信息盗取游戏中的虚拟对象，然后在在线拍卖网站转手出售以牟利。虽然档案感染型病毒的散播范围并不大，然而这种网络安全威胁卷土重来的趋势却使我们不得不对今日瞬息万变的恶意程序散播趋势进行密切监控。

图 12：病毒散播情形

从好的方面来看，相较于去年同一时期，个别病毒感染与蠕虫攻击的通报数量均已大幅减少-总数仅为 6200 万。可惜数字并未说明真相。通报数量下滑也意味着，恶意程序作者已采取利用更不易被察觉的方式来散播网络安全威胁。只要潜行于雷达侦测高度以下 (利用遭受控制的傀儡程序与后门程序以积少成多的方式增加感染数量)，恶意程序作者便能确保他们的产品可长时间潜伏于计算机系统中而不被侦测到。为达到这个目的，它们采用了多种自动压缩程序与加密算法。从刻意挑选的位置使用更高的频宽针对特定目标发动攻击也已证实是极为有效的策略。Rootkit 与弱点攻击程序代码也是许多安全威胁借以暗中散播的手段；借由在操作系统底层运作，让应用程序层级的防毒与安全防护应用程序接到未中毒的不实状态报告。

宏病毒

自 2004 年起，趋势科技就宣布宏病毒威胁几乎已销声匿迹。这是因为这类网络安全威胁所采用的技术多年来一直未有太大的改变-所以更容易防范。然而，在目前的网络安全威胁版图结构中，修改文件与数据的效果依然占有举足轻重的地位。

图 14 显示支持宏快捷方式，而且其部分功能已沦为为恶意程序开发工具的各种应用程序的宏病毒活动情形。从此分布情形中可明显看出，尽管并无新的宏病毒变种出现，但 Microsoft Office 软件包仍无法幸免于恶意活动的影响。

图 14：宏病毒散播情形

值得注意的是，由于 Microsoft 同时称霸于桌上型计算机作系统与办公室软件领域，但图 14 中所涵盖的仅限于影响 Word、Excel、PowerPoint 的网络安全威胁。

2006 年接获通报的宏数量呈现出增加的趋势，且分别在四月与九月达到最高峰。若将这些高峰归因于新出现的恶意程序宏，或许过于小题大做。较可能的原因是四月与六月分别为个人与企业报税的月份，而九月通常是企业编列预算的月份，所以使用 Office 软件包组件的频率会比较高。

MICROSOFT WINDOWS INTERNET EXPLORER 7 所面临的威胁

Microsoft Windows Internet Explorer (IE) 7 很快将成为全球最受欢迎的 Web 浏览器，最主要的原因是因为 Microsoft 已决定将 IE 7 透过 Windows Update 提供给现有的 Windows 使用者。但趋势科技相信，IE 7 包含的三种新功能将会让间谍程序 (尤其是广告程序) 有机可乘。这些可能性包括：

绑架标签。IE 7 增加了一项称为标签分页浏览的新功能，而 Firefox 从很久以前便已提供这项功能。透过这项新功能，使用者便能将数个标签与特定网页建立关联，让他们能迅速存取经常浏览的网站。然而，由于使用者很容易便能在浏览器中新增标签，因此趋势科技预测广告程序很快便能在 IE7 中加入广告标签，而不必再自行产生弹出式广告。绑架卷标的方式将能让广告程序业者建立永久性的广告标签，即使使用者将这些广告标签关闭，只要 IE 7 重新启动之后就会再出现。

注入 RSS Feed。由于 Microsoft 在 IE 7 中整合了 RSS 阅读功能，使它迅速成为全球最受欢迎的 RSS 阅读工具。据 Microsoft 表示，新增 RSS Feed 就如同在浏览器中新增书签一样简单。

趋势科技预测广告程序业者很快就会注入它们自己的 RSS Feed，在 RSS 数据中提供一连串的广告内容。

绑架搜寻方块。IE 7 本身包含内嵌的搜寻方块，这表示使用者再也不需要造访像 google.com 等第三方搜寻引擎网站。因为 IE7 的搜寻方块可透过选项加以设定，趋势科技相信可设定的搜寻方块将成为热门攻击目标，广告程序业者将会挟持搜寻方块，改用他们指定的搜寻引擎进行搜寻，然后广告程序业者再依据搜寻引擎点击次数取得报酬。

LINUX 恶意程序

非主流操作系统通常都不会成为恶意程序攻击的目标-除了 OSX_LEAP.A 这些少数个案以外，这只会感染 Mac OSX 平台的蠕虫是在 2006 年 2 月被侦测到。

这令我们产生一种 Linux 与 Unix 的使用者相当安全的错觉，导致他们经常在毫无防备的情况下遭受攻击，像是 2001 年的 ELF_LION-首次公开透过因特网散播，并以这些系统为攻击目标的蠕虫。2006 年通报次数最频繁的 Linux 网络安全威胁包括进行阻断服务式攻击的木马程序 ELF_BLITZ，以及 ELF_BO121B 与 ELF_DIESEL 的变种，以上两者都是档案感染型病毒。有趣的是，虽然防范这些网络安全威胁的方法几乎随即就被提出，但仍有使用者持续遭到它们的毒手。在 2002 年首次被发现的 UNIX_RAMEN.G 是散播范围最广的 Linux 蠕虫，其主要分布区域似乎是在北美洲与欧洲部分地区。