恶意软件与反恶意软件二十年恩怨情仇

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13
1988年,江湖上出现了一种叫做Morris蠕虫的程序,一时间兴风作浪,引起了网络界的恐慌。事后的调查表明,这种病毒并不是恶意攻击。这个程序的复制速度如此之快以至于在短时间之内破坏了那时还处于起步阶段的因特网。它的发明者Robert Morris Jr.当时也不是想故意攻击因特网,只是想知道联网的计算机的数量而已。 
  然而,20年之后,情形却发生了很大的变化。黑客更多的使用恶意程序出于不可告人的动机。这些人不仅仅是为了向世人炫耀其计算机能力,更重要的是借此获利。我们称之为拜金黑客

  这个世界似乎总是相对的,应运而生的是反恶意软件程序。从此网络世界似乎陷入了一场无尽的纷争,斗的不可开交,江湖不再安宁。以目前的情况看,好像是道高一尺魔高一丈。恶意软件正以超出我们想象的速度发展。

  互联网的角落,挑衅者正在……:

  也许恶意软件这个词根本不足以表达当前网络威胁的内涵。以前,病毒、蠕虫都擅长打游击战。它们进入计算机,感染文件,然后就被清除了。现在,病毒程序往往是在你不注意的时候静静地躲在你的系统中,并不是要破坏你的计算机或是文件。也不像臭名昭著的“我爱你”( ILOVEYOU)病毒一样大的危害,这一病毒在2000年破坏了数不清的Windows操作系统。

  它们真的是这么善良吗?不,你错了。它们只是伺机而动,获取重要的密码或是信用卡帐号,或是把你的计算机变成垃圾邮件生成器,破坏你的用户和数据,而不是计算机本身。你甚至都不可能是主要目标。江湖上甚嚣尘上的谣言说,恶意软件其实不是网络犯罪集团的行为,而是恐怖分子或政府组织的行为。但是没有确凿的证据。

  Melissa、ILOVEYOU 和Sasser恶意程序都曾造成了很大的损失。但是用户可以采取简单的措施防范感染恶意软件。譬如,不要打开使用邮件发送的可执行文件附件;不要使用漏洞百出的outlook。还有,使用实时更新的检测程序也可以降低感染的风险。

  这些威胁任然萦绕在我们身边。譬如,以明信片形式传播的木马病毒,以社会热点新闻为题的邮件。还有一些用户不顾警告,喜欢点击网站上的不明浮动窗口。

  但是真正的问题在于现有的侦查方法还不足以应对21世纪的恶意软件。过去他们使用的是以邮件附件,移动媒介作为传播方式。而现在恶意软件更多的是发生在你访问受到威胁的网站,一般包含有跨站脚本攻击或是没有防备的社会网络被人利用隐藏跨站请求伪装攻击。你以为自己是在访问目标网站,实际上你已经遭到攻击,最新的攻击代码已经注入到你的电脑中。



  还有另外一个问题,被人们普遍认为安全的Macintosh电脑的操作系统也被黑客发现有很多漏洞,与此同时,windows的Vista也是漏洞百出。下一步呢?大多数的研究人员预测,下一个攻击目标就是移动电话用户。即将大规模爆发。

  防御小组正在行动

  根据赛门铁克公司的报告,2007年大概有70%的攻击被检测到。可以预计2008年我们将做的更好。有专家预计说,2009年病毒和木马的数量将达到1百万数量级。这些新生病毒将更难被检测到,这将给杀毒专家提出更高的要求,不仅要面临正在出现的病毒,还要与将要出现的病毒作斗争。

  过去,杀毒软件只需要检测到病毒的简单样本,然后确定入侵者,将其送到天国就ok了。那只是以前的情况,时代变了。现在的恶意软件都很多变。它们时刻变化这样杀毒软件就难以识别它们的样本了。还有一个值得关注的趋势就是,这些恶意程序利用服务器端的变异,也就是在感染你的机器之前它们就已经实现变异,因此你的杀毒软件甚至难以发现这些程序携带了变异工具。

  另外一个常见的恶意软件欺骗技巧就是隐藏在打包程序中。在你解压缩文件之后,在适当的时候,这些漏洞就会从文件中跳出来伤害你的电脑。还有的使用加密技术,基于脚本的攻击或是迷惑战术。

  杀毒软件专家不断的分析新老病毒的各式各样的特征。你可能会想,这很困难。确实是这样。一些杀毒软件公司全天候的监视新的病毒特征升级你的杀毒库。

  一个更现代和有效的处理恶意软件的方法就是不去管恶意程序长的什么样,而是去关注它们能做什么,这种技术叫做启发式杀毒技术。这个词本身的希腊文意思是“单凭经验的方法”。这种方法正如人脑的意识一样,是创造性和常识的结合体。在杀毒软件的大脑中,它强调更多的是行为准则而不是简单的形式匹配。

  譬如,你的杀毒软件的扫描仪可能会发现有一款可疑的程序可以在未经用户允许的情况下打开outlook和Gmail邮箱收件人。扫描仪可能会自我分析,虽然这看起来不是太好,但却是正常的。

  另外一个方法就是将可疑的程序放到虚拟的空间中这样来保护系统的其它部分。这叫做沙箱—继续工作,观察即将发生的事情。如果这些程序尝试在你的金融信息文件夹中捣鬼的话,我们就知道它们不是什么好东西了。有一些程序默认这一功能,有些需要管理人员自己设置。0day&Heroes 

  你可能已经注意到这些杀毒技术的共同点,他们都是反应式(后发制人)的。这不是太好。但是就目前的情况看,只有工程师们注意到问题然后才能解决问题。0-day攻击瞄准的就是没有补丁的漏洞程序。了解0-day攻击有助于更好的防范病毒。

  恶意软件编写人员一般会在受威胁的软件编写人员发现问题的几天或是一个星期之前发现软件的漏洞。在有一些事件中,一些独立的研究人员发现了软件的问题但是却没有引起相关的重视,也就没有添加补丁。

  即使不是0-day攻击,游戏还在继续。在Vista修复一个0-day攻击的当天,黑客们就开始以海狸般的速度寻找补丁的漏洞。

  你还有什么话好说呢?为什么在添加补丁之后,他们还要这么做?原因很简单,使用windows系统的用户太多了,只要他们对恶意软件稍加修复就可以恢复活力,这样就会发现还有很多存在漏洞的计算机。

  之所以会这样,是因为现行的操作系统和程序有时在安全问题上也不是太清楚。从逻辑上说,如果没有人知道漏洞,也就没有人会发现漏洞。只要有漏洞在那,就会有人发现漏洞。但是如果有人确实知道漏洞存在很多情况下,漏洞发生之后马上就会出现补丁,正是由于恶意软件写手之前信息的沟通是如此顺畅,所以根本就没有安全可言。从逻辑上说,如果研究人员每周或是每月指出系统的一个漏洞的话,那么企业就会时刻紧绷安全这根弦。

  第一反应就是尽可能块的升级软件与最新的病毒保持同步。如果你是一个网络或是系统管理人员,要时刻关注一些0-day攻击网站的消息。如果你发现上面有相关软件漏洞的消息,很有可能在黑客发现问题之前,厂家就会发布补丁修复问题。这些网站还会提醒你关注软件的异常行为。这并不意味着厂商马上就会发布补丁,但是发现问题的第三方机构或是研究人员会尽快修复漏洞。

  即使安装第三方补丁还是存在0-day攻击威胁,这是很多专业人员面临的一个问题,这没有一个绝对的答案。但是如果你不幸遭到0-day攻击,就采取办法尽量减少危害。

  我们将目光从计算机保护转向网络。如果你的公司网络没有网络审查和网络入侵检测系统,你需要这些工具。

  总之,如果你的电脑和服务器开始产生异常流量,即使仅仅只是大量的正常流量,你应该想到系统中是否存在恶意软件。关注所有的计算机日志似乎不可能,但是保留网络请求日志会在你有怀疑的时候帮助你。在一个补丁日益侵占你的时间的今天,越少的程序意味这你遭受攻击的可能性越小。

  我们知道,21实际的恶意软件不是靠一次性的大量攻击伤害你或是你的公司。相反,它们正式采取的斩首式的攻击—先是重要的密码,然后关键的帐户。最后想说的是,而今的恶意软件比以往任何时候的都要致命。这场斗争还会继续下去。我们将拭目以待。