勒索蠕虫远程攻击(4)
时间:2022-12-17 03:21 来源:网络整理 作者:采集插件 点击:次
逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。一般是由组织内部有不满情绪的雇员植入, 逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏,Omega 工程公司的一个前网络管理员Timothy Lloyd,1996年引发了一个埋藏在原雇主计算机系统中的软件逻辑炸弹,导致了1千万美元的损失,而他本人最近也被判处41个月的监禁。 三、恶意代码的传播手法 恶意代码编写者一般利用三类手段来传播恶意代码:软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本,本身就是软件,这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。 利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点,比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda,Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。 恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力,LoveLetter 就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。 对聊天室IRC(Internet Relay Chat)和即时消息IM(instant messaging)系统的攻击案例不断增加,其手法多为欺骗用户下载和执行自动的Agent软件,让远程系统用作分布式拒绝服务(DDoS)的攻击平台,或者使用后门程序和特洛伊木马程序控制之。 四、恶意代码传播的趋势 恶意代码的传播具有下面的趋势: (1)种类更模糊 恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种,而可能是它们的混合。比如蠕虫产生寄生的文件病毒,特洛伊程序,口令窃取程序,后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别。 (2)混合传播模式 “混合病毒威胁”和“收敛(convergent)威胁”的成为新的病毒术语,“红色代码”利用的是IIS的漏洞,Nimda实际上是1988年出现的Morris 蠕虫的派生品种,它们的特点都是利用漏洞,病毒的模式从引导区方式发展为多种类病毒蠕虫方式,所需要的时间并不是很长。 (3)多平台 多平台攻击开始出现,有些恶意代码对不兼容的平台都能够有作用。来自Windows的蠕虫可以利用Apache的漏洞,而Linux蠕虫会派生exe格式的特洛伊。 (4) 使用销售技术 另外一个趋势是更多的恶意代码使用销售技术,其目的不仅在于利用受害者的邮箱实现最大数量的转发,更重要的是引起受害者的兴趣,让受害者进一步对恶意文件进行操作,并且使用网络探测、电子邮件脚本嵌入和其它不使用附件的技术来达到自己的目的。 恶意软件(malware)的制造者可能会将一些有名的攻击方法与新的漏洞结合起来,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。对于防病毒软件的制造者,改变自己的方法去对付新的威胁则需要不少的时间。 (5)服务器和客户机同样遭受攻击 对于恶意代码来说服务器和客户机的区别越来越模糊,客户计算机和服务器如果运行同样的应用程序,也将会同样受到恶意代码的攻击。象IIS服务是一个操作系统缺省的服务,因此它的服务程序的缺陷是各个机器都共有的,Code Red的影响也就不限于服务器,还会影响到众多的个人计算机。 (6)Windows操作系统遭受的攻击最多 Windows操作系统更容易遭受恶意代码的攻击,它也是病毒攻击最集中的平台,病毒总是选择配置不好的网络共享和服务作为进入点。其它溢出问题,包括字符串格式和堆溢出,仍然是滤过性病毒入侵的基础。病毒和蠕虫的攻击点和附带功能都是由作者来选择的。另外一类缺陷是允许任意或者不适当的执行代码, 随着scriptlet.typelib 和Eyedog漏洞在聊天室的传播,JS/Kak利用IE/Outlook的漏洞,导致两个ActiveX控件在信任级别执行,但是它们仍然在用户不知道的情况下,执行非法代码。最近的一些漏洞帖子报告说Windows Media Player可以用来旁路Outlook 2002的安全设置,执行嵌入在HTML 邮件中的JavaScript 和 ActiveX代码。这种消息肯定会引发黑客的攻击热情。利用漏洞旁路一般的过滤方法是恶意代码采用的典型手法之一。 (7)恶意代码类型变化 此外,另外一类恶意代码是利用MIME边界和uuencode头的处理薄弱的缺陷,将恶意代码化装成安全数据类型,欺骗客户软件执行不适当的代码。 五、恶意代码相关的几个问题 (责任编辑:admin) |