摘 要 研究了传统的病毒、黑客和新型的网络威胁,并举例详细分析了新型的混合型网络威胁的行为特征,针对这些研究,提出了一些独到的见解和建议。
关键词 病毒 黑客 混合型威胁
总是听说某人机器感染病毒,总是听说某某网络莫名其妙的瘫痪。究竟是什么在威胁我们的生活和生产呢?有的人可能会说主要是“病毒”,也有的人可能会说厉害的是“黑客”。根据一家网络安全业界权威公司发布的《全球互联网安全威胁报告》,读者可以从其中的数据得到准确答案,即当今网络世界的头号威胁是同时具备“病毒+黑客”特征的“混合型威胁(Blended Threats )”,因为这类威胁占了全球所有安全事件的54%甚至更多。
1 病毒、黑客和混合型威胁
病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。除了蠕虫以外,其余类型的病毒都或多或少需要人为的无意操作帮助它完成传播过程。蠕虫,则有些不同,它不必借助任何人为操作,只要有可传播途径和可传播目标,它就可以自行完成传播过程,例如有网络相连且目标机有一个允许写入的共享目录,那么蠕虫就可以轻松自如进入。但是,如果目标机没有开放的资源,蠕虫就无法进入了,因为蠕虫不具备突破系统安全限制的能力。
黑客,可能是一个精通操作系统、网络协议、程序编写等各方面技术的计算机高手,也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目的行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此,黑客行为和病毒行为相比,其特点是攻击行为更高级、更复杂、但一般不能自动完成全过程,基本上是手工攻击行为。这也是遭遇过病毒的机器数量远远多于遭遇过黑客攻击的机器数量的原因。
综上所述,病毒小而精练,有自我复制的特点,特别是蠕虫具备自动快速蔓延的能力,但是,病毒无法突破基本的系统防御;而黑客攻击具备了发现漏洞、突破漏洞的能力,但是相对而言黑客攻击无法自动、快速、广泛的执行。
2001年7月,红色代码(Code Red)的出现,震撼了整个Internet世界, 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式———混合型威胁(Blended Threats),标志了网络威胁发展的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如尼姆达(Nimda)、求职信(Klez)、蠕虫王(SQLexp)、妖怪(Bugbear)、 无极大(So?鄄big)、爱情后门(Lovgate)、恶鹰(Beagle)、冲击波(Blaster)、网络天空(Netsky)等等,而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2 剖析混合型威胁
让我们以近2年来破坏性最大的混合型威胁———冲击波(Blaster)为例,详细的分析一下混合型威胁的攻击原理和破坏行为,只有知彼知己才能更有效的防范和抗击混合型威胁。
冲击波(Blaster)于2003年8月11日爆发,几个小时内,全球有报告的就有超过60万台计算机被感染,大量企业和机构系统和网络瘫痪无法正常工作,全球总损失超过10亿美元。某一台机器一旦感染冲击波(Blaster)就会立刻释放攻击负载,冲击波的攻击负载包括了一系列智能自动的攻击和传播方式。
(1)修改注册表,新增下列值:
“windows auto update”=“msblast.exe”
加入注册键:
HKEY_LOCAL_MACHINE“SOFTWARE“Microsoft“Windows“CurrentVersion“Run
因此,当您启动 Windows 时,蠕虫都会执行。
(2)计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法是先按一定规律计算出IP地址网段,即IP地址:A.B.C.D 的前3位,然后对于D位采取从0~254一个不漏的递增。
(3)在 TCP 端口 135 上发送攻击 DCOM RPC 漏洞的数据。这样就造成:
·本地子网将充斥着端口 135 请求,网络带宽极大消耗。
·由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
·如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。
(4)使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
(5)侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机复制 msblast.exe,并指示该计算机执行攻击动作。
(6)如果当前日期是1~8月份的 16 日到月底之间,或者当前月份是9~12月,蠕虫将试图对 Windows Update 执行 DoS 攻击。