信息安全：未來的五種攻擊手段

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 至少僅僅靠安全意識上的加強是遠遠不夠的，而且很少有人將歷史教訓(xùn)放在心上。紅色代碼的爆發(fā)就充分地說明人們常常即使已經(jīng)知道存在某種安全威脅，但卻事不關(guān)己，高高掛起，自己還沒有遭到攻擊就賴得補救。而企業(yè)有限的安全預(yù)算也制約著信息安全領(lǐng)域的發(fā)展。另外，一些人還會出于某種目的花費大量的時間去研究新的攻擊方法和手段，盡管如此，我們還是可以嘗試著去預(yù)測隱伏著的可能的這些攻擊。   筆者時常被問," 什么樣的潛在性網(wǎng)絡(luò)攻擊會使你在半夜醒來?" 筆者想可能下面的這些就足以使我半夜驚醒：   1.超級蠕蟲 無論是手段的高明性，還是破壞的危害性，計算機網(wǎng)絡(luò)受到蠕蟲的威脅都在激增。在我們的民意調(diào)查中顯示人們?nèi)耘f將這一威脅看作是計算機網(wǎng)絡(luò)將面臨的最大威脅之一，有超過36%的人認(rèn)為超級蠕蟲的威脅應(yīng)該擺在第一位( 見圖3和4)。   超級蠕蟲，它一般被認(rèn)為是混合蠕蟲。它通常能自我繁殖，并且繁殖速度會變得更快，傳播的范圍會變得更廣。更可怕的是它的一次攻擊就能針對多個漏洞。例如，超級蠕蟲潛入系統(tǒng)后，不是僅僅攻擊某個漏洞，而是會嘗試某個已知漏洞，然后嘗試一個又一個漏洞。   超級蠕蟲的一枚彈頭針對多個漏洞發(fā)動攻擊，所以總有一個會有效果。如果它發(fā)現(xiàn)你未打補丁的地方，那你就在劫難逃了。而事實上沒有哪家公司的系統(tǒng)完全打上了所有的補丁。   很多安全專家逐漸看到的通過IM(即時消息)進行傳播的蠕蟲就可以說是一種超級蠕蟲。黑客將一個鏈接發(fā)給IM用戶后，如果用戶點擊鏈接，蠕蟲就會傳播給該用戶的IM地址簿上的所有人。有了IM，用戶將隨時處于連接狀態(tài)，所以也隨時會受到攻擊。(建議用戶參考安絡(luò)科技的專題文章： 八月震撼：點對點(p2p)通信對信息安全構(gòu)成嚴(yán)重威脅和前段段時間出現(xiàn)過的 “MSMessenger”病毒)。   為對付未來的超級蠕蟲我們所能做的將是:   對外部可訪問系統(tǒng)進行安全加固, 像Web服務(wù)器，郵件服務(wù)器和DNS服務(wù)器等，盡量將它們所需要開放的服務(wù)減少到最小。   給系統(tǒng)及時打上補丁、及時更新防病毒軟件，對員工進行安全宣傳和教育。   使用基于主機的入侵檢測系統(tǒng)和預(yù)防工具, 例如Symantec的 Intruder Alert 3.6 可以阻斷或迅速發(fā)現(xiàn)蠕蟲的攻擊。   2. 隱秘攻擊(Stealthier Attacks) 現(xiàn)在越來越多的黑客把攻擊后成功地逃匿IDS的檢測看作是一種藝術(shù)，有許多新工具將能使他們在攻擊用戶的系統(tǒng)后，不會留下任何蛛絲馬跡，有多種高級黑客技術(shù)將能使之成為可能，而這些技術(shù)已經(jīng)被廣泛地為專業(yè)黑客和一些高級的腳本菜鳥(Scripts Kids)所采用：   多變代碼   這些惡意軟件其本身可能是一種病毒，蠕蟲，后門或漏洞攻擊腳本，它通過動態(tài)地改變攻擊代碼可以逃避入侵檢測系統(tǒng)的特征檢測(Signature-based detectio，也可稱為模式匹配)。攻擊者常常利用這種多變代碼進入互聯(lián)網(wǎng)上的一些帶有入侵偵測的系統(tǒng)或IDSes入侵者警告系統(tǒng)。   Antiforensics   攻擊者可操作文件系統(tǒng)的特性和反偵測伎倆進行攻擊來逃避IDS的檢測。   例如通過利用像Burneye這樣一個工具，可以掩蓋黑客對系統(tǒng)的攻擊企圖，使用Defiler的工具Toolkit可以覆蓋黑客對目標(biāo)文件系統(tǒng)所做的修改留下的蛛絲馬跡。   隱蔽通道   為了和后門或者惡意軟件進行通訊，攻擊者必須建立一條非常隱蔽的通信通道。為此，攻擊者常常將通訊端口建立在一些非常常用的通信協(xié)議端口上，像HTTPS或者SSH。   內(nèi)核級后門(Kernel-level root kits)   通過從系統(tǒng)內(nèi)核控制一個系統(tǒng)，攻擊者獲得對目標(biāo)系統(tǒng)的完全控制權(quán)限，而對受害者來說卻一切都似乎風(fēng)平浪靜。   嗅探式后門(Sniffing backdoors)   通過將后門和用戶使用的嗅探器捆綁在一起，攻擊者能夠巧妙地繞過用戶使用的傳統(tǒng)的通過查看正在監(jiān)聽的端口來發(fā)現(xiàn)后門的檢測方法，使受害者被種了后門卻還一直蒙在鼓里。   反射式/跳躍式攻擊   與其直接像目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)，很多攻擊者覺得還不如利用TCP/IP欺騙技術(shù)去以誤導(dǎo)正常的檢測，隱蔽攻擊者的真實地址。象反射式D.o.S攻擊就是例證。有關(guān)反射式D.o.S攻擊的詳細(xì)信息，請參見安絡(luò)科技七月巨獻：網(wǎng)絡(luò)攻擊機制和技術(shù)發(fā)展綜述。   針對以上這些詭秘的攻擊，作為用戶又該如何防范和阻止呢？   如果你的系統(tǒng)遭到這種攻擊，你需要能夠迅速地檢測出來，而且要知道攻擊者具體在你的系統(tǒng)上干了寫什么。為了能夠察覺出這種入侵，需要同時使用基于網(wǎng)絡(luò)和基于主機上的入侵檢測系統(tǒng)和防病毒產(chǎn)品，并仔細(xì)檢查你的系統(tǒng)日志。一般用戶可能不具備這種專業(yè)能力，可以尋找一家高專業(yè)水準(zhǔn)的信息安全簽約服務(wù)商，為您提供高水平的反入侵服務(wù)。   一旦你發(fā)現(xiàn)自己的系統(tǒng)有什么異常，你必須確保你的事件緊急響應(yīng)小組在取證分析上有豐富的經(jīng)驗，能夠熟練使用像@stake的免費TASK工具或者Guidance Software的商業(yè)軟件EnCase，因為這兩個工具都能非常仔細(xì)對系統(tǒng)進行分析，并且非常精確地隔離攻擊者的真實破壞活動。重點部門的事件響應(yīng)小組可以和專業(yè)安全服務(wù)商共建，明確分工，及時處理。   3. 利用程序自動更新存在的缺陷 主流軟件供應(yīng)商,像Microsoft和Apple Computer等都允許用戶通過Internet自動更新他們的軟件。通過自動下載最新發(fā)布的修復(fù)程序和補丁，這些自動更新工具可以減少配置安全補丁所耽誤的時間。   但是程序允許自動更新的這個特征卻好比一把雙刃劍，有有利的一面，也有不利的一面。攻擊者能夠通過威脅廠商Web站點的安全性，迫使用戶請求被重定向到攻擊者自己構(gòu)建的機器上。然后，當(dāng)用戶嘗試連接到廠商站點下載更新程序時，真正下載的程序卻是攻擊者的惡意程序。這樣的話攻擊者將能利用軟件廠商的自動更新Web站點傳播自己的惡意代碼和蠕蟲病毒。   在過去的六個月中，Apple 和 WinAmp 的Web站點自動更新功能都被黑客成功利用過，所幸的是發(fā)現(xiàn)及時(沒有被報道)。Apple 和 WinAmp 后來雖然修復(fù)了網(wǎng)站的緩沖溢出缺陷，并使用了代碼簽名(Code Signing)技術(shù)，但基于以上問題的攻擊流一直沒有被徹底清除。   為了預(yù)防這種潛在的攻擊威脅，需要嚴(yán)格控制和管理安裝在你的內(nèi)部網(wǎng)機器上的軟件，禁止公司職員隨意地安裝任何與工作無關(guān)的應(yīng)用軟件。在這里，你可以使用軟件管理工具來強迫執(zhí)行，像 Microsoft 的 SMS，LANDesk SOFTware 的 LANDesk。這兩個工具只要二者擇其一，你就可以配置你的內(nèi)部升級服務(wù)器，如通過在工具中對微軟軟件升級服務(wù)器相關(guān)選項進行配置，你可以具體選擇哪個修復(fù)程序和補丁允許被安裝。為保護你的網(wǎng)絡(luò)，可使用sniffer測試所有的補丁，如發(fā)現(xiàn)網(wǎng)絡(luò)流量不正常或發(fā)現(xiàn)開放了陌生的端口則需引起警覺。   4. 針對路由或DNS的攻擊 Internet主要由兩大基本架構(gòu)組成：路由器構(gòu)成Internet的主干，DNS服務(wù)器將域名解析為IP地址。如果一個攻擊者能成功地破壞主干路由器用來共享路由信息的邊界網(wǎng)關(guān)協(xié)議（BGP），或者更改網(wǎng)絡(luò)中的DNS服務(wù)器，將能使Internet陷入一片混亂。   攻擊者通常會從頭到腳，非常仔細(xì)地檢查一些主流路由器和DNS服務(wù)器的服務(wù)程序代碼，尋找一些能夠使目標(biāo)程序或設(shè)備徹底崩潰或者取得系統(tǒng)管理權(quán)限的緩沖溢出或其它安全缺陷。路由代碼非常復(fù)雜，目前已經(jīng)發(fā)現(xiàn)并已修復(fù)了許多重要的安全問題，但是仍舊可能存在許多更嚴(yán)重的問題，并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過去經(jīng)常發(fā)生緩沖溢出這樣的問題，在以后也肯定還可能發(fā)生類似的問題。如果攻擊者發(fā)現(xiàn)了路由或DNS的安全漏洞，并對其進行大舉攻擊的話，大部分因特網(wǎng)將會迅速癱瘓。   為了防止遭到這種攻擊，確保你的系統(tǒng)不會被作為攻擊他人的跳板，應(yīng)采取如下措施：   對公共路由器和外部DNS服務(wù)器進行安全加固。如果公司的DNS服務(wù)器是為安全敏感的機器提供服務(wù)，則應(yīng)為DNS服務(wù)器配置防火墻和身份驗證服務(wù)器。   確保DNS服務(wù)器安裝了最新補丁，對DNS服務(wù)器嚴(yán)格監(jiān)控。   如果你認(rèn)為是由ISP的安全缺陷造成的威脅，確保你的事件緊急響應(yīng)小組能夠迅速和你的ISP取得聯(lián)系，共同對付這種大規(guī)模的網(wǎng)絡(luò)攻擊。   5. 同時發(fā)生計算機網(wǎng)絡(luò)攻擊和恐怖襲擊 這可以說是一場雙重噩夢：一場大規(guī)模的網(wǎng)絡(luò)攻擊使數(shù)百萬的系統(tǒng)不能正常使用，緊接著，恐怖分子襲擊了一個或者更多城市，例如一次類似9/11的恐怖爆炸事件或者一次生化襲擊。在9/11恐怖襲擊事件后，美國東部的幾個海岸城市，電話通信被中斷，驚恐萬分的人們不得不通過E-MAIL去詢問同事或親人的安全。由于這次襲擊，人們發(fā)現(xiàn) Internet 是一種極好的傳媒(還有電視傳媒)。但是我們不妨假設(shè)一下，如果此時爆發(fā)超級蠕蟲，BGP和DNS被遭到大舉攻擊，那么在我們最需要它的時候它也將離我們而去,可以想象將是一種什么樣的糟糕場面。但是這又并不是不可能發(fā)生的。   我們要居安思危，為這種災(zāi)難的可能發(fā)生作好應(yīng)急準(zhǔn)備是相當(dāng)困難的：   作好計算機的備份工作；   除給緊急響應(yīng)小組配備無線電話外，還需配備全雙工傳呼設(shè)備；   要確保你的計算機緊急響應(yīng)小組有應(yīng)付恐怖襲擊的能力；   要假想可能出現(xiàn)的恐怖襲擊場面以進行適當(dāng)?shù)难萘?xí)，以確保真正同時發(fā)生網(wǎng)絡(luò)攻擊和恐怖襲擊時，他們能夠迅速、完全地進入角色。   也許有人會認(rèn)為我們這樣做可能都是杞人憂天，但是，筆者有理由相信這樣的事情在未來的5年中是完全有可能發(fā)生的，只不過所使用的攻擊技術(shù)可能是我們在上面所列舉出來的，可能是我們所沒有預(yù)計到的。   來源：信息安全