恶意代码的发展趋势及防御策略

恶意代码的发展趋势及防御策略

1新技术新东南角2007年和2008年是中国恶意代码快速发展的两年。这两年间,恶意代码无论从技术、数量上还是从传播能力、影响力上,与之前相比都有了突破性的发展,在“灰色产业链”的推动下,熊猫烧香、机器狗、磁碟机等一系列对抗性病毒的大规模爆发,给广大终端用户和互联网企业造成了巨大的损失,另一方面,恶意代码与安全软件之间对抗的加剧也引起了国内安全软件产业的重大变革,安全软件厂商纷纷实行免费策略,并推出各自新技术新卖点,安全软件业正面临洗牌。22007和2008年恶意代码的特点2.1恶意代码分类恶意代码泛指包括病毒、蠕虫、傀儡程序、木马、后门程序,以及可能导致计算机使者信息外泄的广告、间谍程序等。近期,恶意代码之间的分类已经模糊化,人们往往将病毒通称恶意代码,恶意代码也不再单纯是其中的某一种,而可能是它们的混合。比如,有些病毒功能越来越强大,不仅拥有蠕虫病毒传播速度和破坏能力,而且还具有木马的控制计算机和盗窃重要信息的功能。2.2下载器病毒攻击近期的机器狗、磁碟机等流行病毒都是下载器类的恶意代码,这些恶意代码下载器本身并无明显发作现象,但是它们破坏了电脑的“防御系统”,并充当了一种“运输工具”,在短时间内可以大量下载病毒、木马等各种恶意软件,危害非常严重。2.3sdthok攻击现在大部分恶意代码运用的主流技术都进入了驱动级,病毒已经不再一味逃避,而是开始与安全软件争抢系统驱动的控制权。通过Rootkit技术和映像劫持技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒软件查杀,通过实时监测对自身进程进行回写,避免被杀毒软件查杀,通过还原系统SSDTHOOK和还原其他内核HOOK技术破坏反病毒软件,其中,仅映像劫持技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。2.4恶意代码传播的多样性早期,恶意代码主要通过电子邮件、系统漏洞、网络共享、文件等方式进行传播,而且传播模式主要是通过吸引用户去点击。随着网络的发展,信息交换和共享的渠道和方式更加多样、便捷,但随之也带来恶意代码传播的多样化。出现了通过ARP攻击、网上挂马、漏洞攻击、移动存储没备、网络共享、网络下载、IM软件等传播方式,其中,感染U盘之类的移动存储设备、利用ARP方式感染局域网和网页挂马,成为当中最流行的三种途径。而且,这三者相互补充,可以有效提高病毒的传播范围和能力,只要局域网中有一台电脑中毒,病毒很快就会蔓延到整个网络,可造成网络堵塞、机密信息被窃取等网络安全风险,给企业局域网、校园网络等的正常运行造成了很大威胁。2.5用户面临的威胁更当用户逐渐注意定期安装Windows漏洞补丁的时候,恶意代码编制者便把目光转向了装机率非常高的一些第三方软件,从早期的迅雷0day漏洞到暴风影音、RealPlayer漏洞等,再到最近的FlashPlayer漏洞,这些在互联网中广泛安装使用的各类软件不但有着巨大的用户群体,而且没有固定的补丁发布期限,很多用户只要能正常使用,就不会因为安全问题而去安装更新的版本,用户面临的威胁比原有的Windows漏洞更严重,危害也更大。现在,多数恶意代码已经很少使用单一漏洞传播,而是综合利用系统漏洞和第三方软件漏洞。例如,2008年5月底发现的FLASH远程代码执行漏洞,在短短的一周内,就有数万人受到了利用该漏洞的恶意代码攻击。2.6自动生产病毒由于技术的快速发展,使得客制化加壳的技术可以非常容易地在客户端通过一些简单的脚本技术或简单的程序就能完成,恶意代码制作技术平民化,任何具备基础电脑知识的人,只要从网上下载加壳工具,就可以自动生产出病毒。2008年上半年,计算机病毒、木马的数量呈爆炸式增长,其总数已经超过了近五年的病毒数量的总和。金山毒霸全球反病毒监测中心监测数据显示,截止到2008年6月30日,上半年金山毒霸共截获新增病毒、木马1242244个,较2007年全年病毒、木马总数增长了338%。另外,加密技术尤其是非对称的加密技术的日益普及和广泛运用,使得客制化加壳变得更加容易,而杀毒、杀木马等对安全软件来说,脱壳查杀的难度变得更大。2.7饱和攻击的安全威胁近期的恶意代码大多能够通过网络下载大量各种恶意代码,如病毒、木马、广告程序、后门等,对计算机实施饱和攻击,并破坏安全模式、强制隐藏文件、刺破还原卡、对流行的GHOST备份文件加入恶意代码。恶意代码往往综合应用各种先进技术,对抗安全软件,而且变种迅速,单纯地安装安全软件越来越来难以防范恶意代码的攻击,导致计算机瘫痪后普通用户根本没有能力彻底清除,只能求助专业技术人员。2.8趋向网络效应的“灰色产业链”过去,炫耀技术一直是恶意代码编制者的根本初衷,恶意代码编制者主要是为了通过攻击出名和显示自己高于他人的技术,从而满足其虚荣心,赢得人们的尊重和崇拜。但现在的恶意代码编制者已和以前不同了,他们不再以炫耀技术为目的,而是带有明确商业的目的,网络上已经形成一条“灰色产业链”,将恶意代码制作引领为一种产业,网上贩卖病毒、木马和僵尸网络的活动不断增多,且公开化。例如,“熊猫烧香”的制作者李俊每天入账收入近1万元。正因如此,目前病毒制造者在经济利益的驱动下,不断追求技术突破,使得木马、病毒的感染率呈爆炸式增长,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。这种趋利性引发了大量的网络犯罪活动,对用户信息的安全威胁更大,危及网络的应用与发展。3未来恶意代码的发展趋势3.1安全软件的查杀和防护技术研究恶意代码与安全软件之间的对抗一直没有中断过,2007年、2008年上半年这段时间表现得尤为突出,批量加壳、变形等技术手段的运用,使安全软件的滞后性的弊端暴露无遗,杀毒软件赖以生存的特征码扫描技术也将面临严峻的挑战;综合利用各种编程新技术躲避、中止安全软件,使安全软件的查杀能力大大下降。因此,如何研究新的查杀和防护技术成了安全厂商们能否抢占市场的最大关键。不过,有的恶意代码编制者甚至开始进行“前瞻性的研究”,针对“主动防御”、“智能防御”等新技术来研究反安全软件措施,恶意代码与安全软件之间的对抗将日益加剧。3.2各类以奥运为主题的视频、照片、链接热点事件具有关注率高、网友浏览点击率高等特点,所以成为了恶意代码编制者热衷的利用对象。例如,2008北京奥运会开幕,吸引了国内外众多人群的关注,尤其是这一届奥运会是“数字奥运”,利用网络对奥运会进行宣传和推广是其主要特点,因此,各种以奥运为主题的视频、图片、链接非常有可能成为恶意代码利用的目标。奥运网站也可能是国内外分裂势力实施网络犯罪或网络恐怖袭击的重点,他们极有可能会利用之前网站的漏洞进行潜伏,在访问量急剧上升、系统维护告急的情况下实施致命的攻击,以达到破坏和偷窃等目的,制造重大影响的事件。3.3“鸡肉”数量据国家计算机网络应急技术处理协调中心的监测数据显示,2007年我国有19个僵尸网络操控的计算机(即“肉鸡”)数量超过10万台。僵尸网络主要被利用发起拒绝服务(DDoS)攻击、发送垃圾邮件、传播恶意代码,以及窃取受感染主机中的敏感信息,而由僵尸网络发出的大流量、分布式DDoS攻击是目前公认的世界难题,不仅严重影响互联网企业的运作,而且严重威胁着我国互联网基础设施的运行安全。3.4恶意攻击、攻击社会工程学就是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱,进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。例如,网络钓鱼、捆绑软件、恶意链接等。再例如,最近大部分对抗型恶意代码基本上是直接删除杀毒软件的文件,而Flash特务病毒却采取的是替换杀毒软件的主要文件。如果直接删除杀软的文件,那么当用户发现系统异常时,就很容易认识到是中了病毒,迅速求助。而如果是替换杀软文件,则大部分用户会以为是杀软出了问题,导致系统异常而麻痹大意。另外,Flash特务病毒运行之后,还会删除文件擦除的痕迹,更不容易让用户察觉。4网络安全检测措施完善本网服务体系和安全中心(1)建立良好的安全习惯、提高警惕性,不打开可疑邮件和可疑网站,不随意接收聊天工具上传送的文件以及打开发过来的网站链接,抵制来自网络的各种诱惑信息。(2)修改系统配置、增强系统自身安全性,关闭系统不必要的系统服务。修改系统安全配置,提高系统安全性。例如:关闭自动播放功能,取消不必要的默认共享等。(3)打开自动升级服务,及时修补系统漏洞,加强预警,及时安装操作系统补丁和应用软件补丁,尽量确保使用Flash、QQ、迅雷等第三方软件的最新版本。此外,还要经常关注安全机构和厂商发布的重大安全事件,做好预警防范措施。(4)局域网用户尽量实现网卡、路由器的双向绑定,防止ARP病毒的传播。在使用移动介质时,最好事先打开安全软件进行扫描。(5)正确安装使用安全软件,保证及时升级,并打开实时监视功能,防止来自网络的攻击和破坏。(6)定期进行安全检查,用户使用安全软件或者请专业人员定期对系统的自启动项、进程等关键内容进行检查,及时发现存在的问题。注意观察安全软件的状态,看安全软件是否被恶意代码关闭,如果出现安全软件异常关闭,请及时断开网络,利用安全软件查杀。(7)为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。对网络性能进行优化日前,网络应用和测试公司BreakingPointSystems(美国必锐博系统公司)为NetQoS公司提供了一套万兆实时网络测试平台,以实现快速、准确地验证网络的性能,从而加快该公司产品开发的速度。BreakingPoint采用实际应用流量、能够对高速运行的网络设备(高达10gps/秒)进行4-7层的网络测试。NetQoS公司选用BreakingPoint测试平台测试产品性能,这已经成为NetQoS公司产品质量检查的关键步骤。BreakingPoint测试平台有以下技术优势:(1)支持多种应用协议:NetQoS的设备帮助大型企业和服务提供商监测网络性能,支持各种应用协议,包括那些对业务进程起决定性作用协议,如VoIP和FIX等。BreakingPoint的测试平台支持50多种应用协议,包括语音和视频、P2P网络加密协