研究者表示,由商业间谍发起的针对性网络攻击将会成为大型企业的安全恶梦。
专家们表示,其关键问题在于现有的电脑安全技术虽然能够阻挡普通的网络攻击,但是像这种针对性极强的攻击却能够暗自潜伏在雷达之下。
·网管1000问:之-杀病毒特洛伊木马篇·透视特洛伊木马程序开发技术·特洛伊木马病毒28日发作 需更新补丁·反黑入门基础:搞懂特洛伊木马工作原理·当心被“特洛伊木马--Keylogger”攻击·浅谈用VB6.0编写“特洛伊木马”程序·VC下揭开“特洛伊木马”的隐藏面纱·“特洛伊木马”病毒迅速增加 专门攻击·Zelu特洛伊木马·针对特洛伊木马的IP安全策略
古语言“明枪易躲,暗箭难防。”
在加拿大蒙特利尔召开的电脑病毒网络会议上,安全专家们表示,现有的那些广泛分布的每天向数百万电子邮箱发送垃圾邮件的蠕虫、电脑病毒和特洛伊木马程序,它们已不再是最为棘手的安全问题了。与之相替代的是,尤其是对那些大型的组织或机构来说,专一的针对性的特洛伊木马程序将会成为它们新的安全恶梦。
“在现有的全部互联网攻击的当中,专一针对性的特洛伊木马程序仅仅还只占有极少的份额,但它们是那些大型商业公司们最担心的威胁。”赛门铁克安全公司(Symantec Security Response)的高级主管 Vincent Weafer 表示。“正是这一部分数量极少的特洛伊木马程序让这些大公司们寝食难安。”
专家们表示,这些秘密的网络攻击将会在企业的IT系统中安装键盘记录程序或屏幕监视程序。它们一般被用于商业间谍活动或其他类型的以经济为目的的犯罪活动。
网络诈骗者们会向目标企业所拥有的一个或几个邮件地址发送电子邮件,并力图诱使它们的受害者点击打开已经受到感染的邮件附件——通常的情况下,这个受感染的附件会是一个微软 Office 文档,它可以开启一个尚未被修补的安全漏洞,并利用这个漏洞向本地系统中下载恶意代码。
网络攻击的示意图
电脑安全技术可以阻挡常见的网络攻击,但是这种专一针对性的网络攻击却可以躲过其雷达的侦测。这是因为那些会在网关处或桌面上扫描电子邮件的传统安全产品无法识别出这种类型的攻击。假如一种新的网络攻击出现后,影响了成千上万的电脑用户,传统的安全产品将会在第一时间里得知这个消息,并将其加入自己的通缉令当中,于是当这种网络攻击出现在你的面前时,安全警报就会及时的响起。但是,假如某种新的特洛伊木马程序仅仅只隐藏在几封电子邮件当中,你将永远无法察觉。
“它完全可以在不知不觉之间,就轻松地潜入你的系统。”英国的一家反病毒公司 Sophos 的高级技术顾问 Graham Cluley 先生表示。他说,假如这是一次大规模的网络攻击,电脑安全公司们马上就会察觉有事情发生了,因为它影响到了自己客户的IT系统,或是撞进了自己设定的“蜜罐系统”(这是一种专门设计用来捕捉新的和现成的网络攻击的系统)。
研究者表示,相对于大规模的普通安全问题来说,这种针对性的网络攻击犹如沧海一粟。来自一家电子邮件安全公司的高级反病毒技术人员 Alex Shipp 表示,MessageLabs 公司每天都会从往来的电子邮件当中检测出大约三百万份恶意代码,但是其中仅仅只有七份可以被划定为针对性的特洛伊木马攻击。
“一次典型的针对性网络攻击将会由1到10封相似的电子邮件所组成,它们将会被直接寄往1到3家机构。”Shipp 表示。“但是至今为止,这种攻击的最常见形式是仅仅向一家机构发送一封电子邮件。”
在过去的两年当中,MessageLabs 公司目睹了此类针对性的网络攻击攻陷了大型的跨国公司、政府以及军事机构。Shipp 说,其他从此类灾难中恢复过来的目标包括了法律公司、人权组织、新闻机构和教育机构。
绝大多数网络攻击都利用了微软 Office 文档。这些文档能够开启微软程序中那些尚未被修补的漏洞,以向受害者的系统当中安装恶意代码。在微软公司最近一次发布的补丁升级当中,就修补了许多这样的安全漏洞。
微软的 Office 文档是如此受到攻击者们的欢迎,这也是因为机构们一般都会允许自己的员工通过电子邮件接收这种类型的文件。而与此同时,可执行文件或其他类型的更有可能包含恶意代码的文件却通常会被禁止,Shipp 表示。他说,“大体上来讲,侵入一个组织的最好方式,是使用他们所允许的那种方式进入。”
恶意软件的未来
利用“零日漏洞(zero-day flaws)”的网络攻击已经逐渐让传统的基于指纹技术的安全产品捉襟见肘。这些传统的安全产品依赖于攻击的特征信号(攻击的“指纹”)来屏蔽掉网络攻击,但这需要网络攻击至少已经在先前被识别出来了一次。
“这便是恶意软件攻击的未来。”来自德国马格德堡大学的反病毒软件专家 Andreas Marx 表示,“被这种类型的攻击所伤害的用户将无法得到反病毒软件的保护,因为这些反病毒软件中还不具有这些罪犯的相关指纹信息。”
只有当反病毒公司收到被感染公司的报告时,当它们在自己的“蜜罐系统”中发现恶意代码的样本时,或当它们从其它反病毒公司中获得样本时,它们才能够创建出相应病毒的指纹信息。Marx 表示:“而当专一针对性的网络攻击发生时,这一切都不会发生,因为仅仅只有极少数的对象才会被感染。”
作为自己此番论调的例证,Shipp 表示今天仅仅只有四种反病毒软件能够侦测出一种特殊的针对性网络攻击,而这种网络攻击代码早在几个月之前就被发现了。而其他的反病毒产品依然会让它通过相关的安全检测。他表示,MessageLabs 公司之所以能够识别出部分此种类型的攻击,是因为他们对于电子邮件中的 Office 文档附件的检测非常的精细,发现了其中所包含的极其微小的异常代码。
这些专一性攻击者的身份还尚无人知晓。但是有安全专家相信,这些攻击是由来自全球不同地域的多个组织所发起的,只是现在还无法精确地划定他们。
这些攻击者的动机同样也是一个备受争议的话题。按照自己的分析,Shipp 相信这些网络攻击的目的是为了窃取信息。他说:“换句话讲,他们是商业间谍。”
但是来自赛门铁克公司的 Weafer 却不是如此肯定。他表示:“他们到底是被他人所雇佣的,还是单单是出于好奇或实验的目的这样做,这一切还尚无定论。”
电脑安全公司们正在努力地研发“行为屏蔽(behavioral blocking)”和其他相关安全技术,以图超越现有的基于指纹的侦测技术,最终更好地保护用户的电脑系统。采用使用模式识别的启发式反病毒技术来代替现有的基于算法的技术,就是这样的一个例子。
“反病毒公司们正在致力于投身启发式攻击防御的技术当中。”Cluley 表示。“即便是某个攻击潜伏在雷达之下,情况也不会变得一塌糊涂。良好的前瞻性的防御技术仍然可以抵挡大部分此类型的攻击。”
好的消息是,在去年当中,公司们遭遇到这种专一针对性的网络攻击的几率是非常之低的,Shipp 表示:”但是,坏消息是,假如你遭受到了这种攻击,并且它又成功了的话,你的损失将会非常惨重。”