信息安全：未來(lái)的五種攻擊手段

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 至少僅僅靠安全意識(shí)上的加強(qiáng)是遠(yuǎn)遠(yuǎn)不夠的，而且很少有人將歷史教訓(xùn)放在心上。紅色代碼的爆發(fā)就充分地說(shuō)明人們常常即使已經(jīng)知道存在某種安全威脅，但卻事不關(guān)己，高高掛起，自己還沒(méi)有遭到攻擊就賴得補(bǔ)救。而企業(yè)有限的安全預(yù)算也制約著信息安全領(lǐng)域的發(fā)展。另外，一些人還會(huì)出于某種目的花費(fèi)大量的時(shí)間去研究新的攻擊方法和手段，盡管如此，我們還是可以嘗試著去預(yù)測(cè)隱伏著的可能的這些攻擊。   筆者時(shí)常被問(wèn)," 什么樣的潛在性網(wǎng)絡(luò)攻擊會(huì)使你在半夜醒來(lái)?" 筆者想可能下面的這些就足以使我半夜驚醒：   1.超級(jí)蠕蟲(chóng) 無(wú)論是手段的高明性，還是破壞的危害性，計(jì)算機(jī)網(wǎng)絡(luò)受到蠕蟲(chóng)的威脅都在激增。在我們的民意調(diào)查中顯示人們?nèi)耘f將這一威脅看作是計(jì)算機(jī)網(wǎng)絡(luò)將面臨的最大威脅之一，有超過(guò)36%的人認(rèn)為超級(jí)蠕蟲(chóng)的威脅應(yīng)該擺在第一位( 見(jiàn)圖3和4)。   超級(jí)蠕蟲(chóng)，它一般被認(rèn)為是混合蠕蟲(chóng)。它通常能自我繁殖，并且繁殖速度會(huì)變得更快，傳播的范圍會(huì)變得更廣。更可怕的是它的一次攻擊就能針對(duì)多個(gè)漏洞。例如，超級(jí)蠕蟲(chóng)潛入系統(tǒng)后，不是僅僅攻擊某個(gè)漏洞，而是會(huì)嘗試某個(gè)已知漏洞，然后嘗試一個(gè)又一個(gè)漏洞。   超級(jí)蠕蟲(chóng)的一枚彈頭針對(duì)多個(gè)漏洞發(fā)動(dòng)攻擊，所以總有一個(gè)會(huì)有效果。如果它發(fā)現(xiàn)你未打補(bǔ)丁的地方，那你就在劫難逃了。而事實(shí)上沒(méi)有哪家公司的系統(tǒng)完全打上了所有的補(bǔ)丁。   很多安全專家逐漸看到的通過(guò)IM(即時(shí)消息)進(jìn)行傳播的蠕蟲(chóng)就可以說(shuō)是一種超級(jí)蠕蟲(chóng)。黑客將一個(gè)鏈接發(fā)給IM用戶后，如果用戶點(diǎn)擊鏈接，蠕蟲(chóng)就會(huì)傳播給該用戶的IM地址簿上的所有人。有了IM，用戶將隨時(shí)處于連接狀態(tài)，所以也隨時(shí)會(huì)受到攻擊。(建議用戶參考安絡(luò)科技的專題文章： 八月震撼：點(diǎn)對(duì)點(diǎn)(p2p)通信對(duì)信息安全構(gòu)成嚴(yán)重威脅和前段段時(shí)間出現(xiàn)過(guò)的 “MSMessenger”病毒)。   為對(duì)付未來(lái)的超級(jí)蠕蟲(chóng)我們所能做的將是:   對(duì)外部可訪問(wèn)系統(tǒng)進(jìn)行安全加固, 像Web服務(wù)器，郵件服務(wù)器和DNS服務(wù)器等，盡量將它們所需要開(kāi)放的服務(wù)減少到最小。   給系統(tǒng)及時(shí)打上補(bǔ)丁、及時(shí)更新防病毒軟件，對(duì)員工進(jìn)行安全宣傳和教育。   使用基于主機(jī)的入侵檢測(cè)系統(tǒng)和預(yù)防工具, 例如Symantec的 Intruder Alert 3.6 可以阻斷或迅速發(fā)現(xiàn)蠕蟲(chóng)的攻擊。   2. 隱秘攻擊(Stealthier Attacks) 現(xiàn)在越來(lái)越多的黑客把攻擊后成功地逃匿IDS的檢測(cè)看作是一種藝術(shù)，有許多新工具將能使他們?cè)诠粲脩舻南到y(tǒng)后，不會(huì)留下任何蛛絲馬跡，有多種高級(jí)黑客技術(shù)將能使之成為可能，而這些技術(shù)已經(jīng)被廣泛地為專業(yè)黑客和一些高級(jí)的腳本菜鳥(niǎo)(Scripts Kids)所采用：   多變代碼   這些惡意軟件其本身可能是一種病毒，蠕蟲(chóng)，后門(mén)或漏洞攻擊腳本，它通過(guò)動(dòng)態(tài)地改變攻擊代碼可以逃避入侵檢測(cè)系統(tǒng)的特征檢測(cè)(Signature-based detectio，也可稱為模式匹配)。攻擊者常常利用這種多變代碼進(jìn)入互聯(lián)網(wǎng)上的一些帶有入侵偵測(cè)的系統(tǒng)或IDSes入侵者警告系統(tǒng)。   Antiforensics   攻擊者可操作文件系統(tǒng)的特性和反偵測(cè)伎倆進(jìn)行攻擊來(lái)逃避IDS的檢測(cè)。   例如通過(guò)利用像Burneye這樣一個(gè)工具，可以掩蓋黑客對(duì)系統(tǒng)的攻擊企圖，使用Defiler的工具Toolkit可以覆蓋黑客對(duì)目標(biāo)文件系統(tǒng)所做的修改留下的蛛絲馬跡。   隱蔽通道   為了和后門(mén)或者惡意軟件進(jìn)行通訊，攻擊者必須建立一條非常隱蔽的通信通道。為此，攻擊者常常將通訊端口建立在一些非常常用的通信協(xié)議端口上，像HTTPS或者SSH。   內(nèi)核級(jí)后門(mén)(Kernel-level root kits)   通過(guò)從系統(tǒng)內(nèi)核控制一個(gè)系統(tǒng)，攻擊者獲得對(duì)目標(biāo)系統(tǒng)的完全控制權(quán)限，而對(duì)受害者來(lái)說(shuō)卻一切都似乎風(fēng)平浪靜。   嗅探式后門(mén)(Sniffing backdoors)   通過(guò)將后門(mén)和用戶使用的嗅探器捆綁在一起，攻擊者能夠巧妙地繞過(guò)用戶使用的傳統(tǒng)的通過(guò)查看正在監(jiān)聽(tīng)的端口來(lái)發(fā)現(xiàn)后門(mén)的檢測(cè)方法，使受害者被種了后門(mén)卻還一直蒙在鼓里。   反射式/跳躍式攻擊   與其直接像目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)，很多攻擊者覺(jué)得還不如利用TCP/IP欺騙技術(shù)去以誤導(dǎo)正常的檢測(cè)，隱蔽攻擊者的真實(shí)地址。象反射式D.o.S攻擊就是例證。有關(guān)反射式D.o.S攻擊的詳細(xì)信息，請(qǐng)參見(jiàn)安絡(luò)科技七月巨獻(xiàn)：網(wǎng)絡(luò)攻擊機(jī)制和技術(shù)發(fā)展綜述。   針對(duì)以上這些詭秘的攻擊，作為用戶又該如何防范和阻止呢？   如果你的系統(tǒng)遭到這種攻擊，你需要能夠迅速地檢測(cè)出來(lái)，而且要知道攻擊者具體在你的系統(tǒng)上干了寫(xiě)什么。為了能夠察覺(jué)出這種入侵，需要同時(shí)使用基于網(wǎng)絡(luò)和基于主機(jī)上的入侵檢測(cè)系統(tǒng)和防病毒產(chǎn)品，并仔細(xì)檢查你的系統(tǒng)日志。一般用戶可能不具備這種專業(yè)能力，可以尋找一家高專業(yè)水準(zhǔn)的信息安全簽約服務(wù)商，為您提供高水平的反入侵服務(wù)。   一旦你發(fā)現(xiàn)自己的系統(tǒng)有什么異常，你必須確保你的事件緊急響應(yīng)小組在取證分析上有豐富的經(jīng)驗(yàn)，能夠熟練使用像@stake的免費(fèi)TASK工具或者Guidance Software的商業(yè)軟件EnCase，因?yàn)檫@兩個(gè)工具都能非常仔細(xì)對(duì)系統(tǒng)進(jìn)行分析，并且非常精確地隔離攻擊者的真實(shí)破壞活動(dòng)。重點(diǎn)部門(mén)的事件響應(yīng)小組可以和專業(yè)安全服務(wù)商共建，明確分工，及時(shí)處理。   3. 利用程序自動(dòng)更新存在的缺陷 主流軟件供應(yīng)商,像Microsoft和Apple Computer等都允許用戶通過(guò)Internet自動(dòng)更新他們的軟件。通過(guò)自動(dòng)下載最新發(fā)布的修復(fù)程序和補(bǔ)丁，這些自動(dòng)更新工具可以減少配置安全補(bǔ)丁所耽誤的時(shí)間。   但是程序允許自動(dòng)更新的這個(gè)特征卻好比一把雙刃劍，有有利的一面，也有不利的一面。攻擊者能夠通過(guò)威脅廠商Web站點(diǎn)的安全性，迫使用戶請(qǐng)求被重定向到攻擊者自己構(gòu)建的機(jī)器上。然后，當(dāng)用戶嘗試連接到廠商站點(diǎn)下載更新程序時(shí)，真正下載的程序卻是攻擊者的惡意程序。這樣的話攻擊者將能利用軟件廠商的自動(dòng)更新Web站點(diǎn)傳播自己的惡意代碼和蠕蟲(chóng)病毒。   在過(guò)去的六個(gè)月中，Apple 和 WinAmp 的Web站點(diǎn)自動(dòng)更新功能都被黑客成功利用過(guò)，所幸的是發(fā)現(xiàn)及時(shí)(沒(méi)有被報(bào)道)。Apple 和 WinAmp 后來(lái)雖然修復(fù)了網(wǎng)站的緩沖溢出缺陷，并使用了代碼簽名(Code Signing)技術(shù)，但基于以上問(wèn)題的攻擊流一直沒(méi)有被徹底清除。   為了預(yù)防這種潛在的攻擊威脅，需要嚴(yán)格控制和管理安裝在你的內(nèi)部網(wǎng)機(jī)器上的軟件，禁止公司職員隨意地安裝任何與工作無(wú)關(guān)的應(yīng)用軟件。在這里，你可以使用軟件管理工具來(lái)強(qiáng)迫執(zhí)行，像 Microsoft 的 SMS，LANDesk SOFTware 的 LANDesk。這兩個(gè)工具只要二者擇其一，你就可以配置你的內(nèi)部升級(jí)服務(wù)器，如通過(guò)在工具中對(duì)微軟軟件升級(jí)服務(wù)器相關(guān)選項(xiàng)進(jìn)行配置，你可以具體選擇哪個(gè)修復(fù)程序和補(bǔ)丁允許被安裝。為保護(hù)你的網(wǎng)絡(luò)，可使用sniffer測(cè)試所有的補(bǔ)丁，如發(fā)現(xiàn)網(wǎng)絡(luò)流量不正常或發(fā)現(xiàn)開(kāi)放了陌生的端口則需引起警覺(jué)。   4. 針對(duì)路由或DNS的攻擊 Internet主要由兩大基本架構(gòu)組成：路由器構(gòu)成Internet的主干，DNS服務(wù)器將域名解析為IP地址。如果一個(gè)攻擊者能成功地破壞主干路由器用來(lái)共享路由信息的邊界網(wǎng)關(guān)協(xié)議（BGP），或者更改網(wǎng)絡(luò)中的DNS服務(wù)器，將能使Internet陷入一片混亂。   攻擊者通常會(huì)從頭到腳，非常仔細(xì)地檢查一些主流路由器和DNS服務(wù)器的服務(wù)程序代碼，尋找一些能夠使目標(biāo)程序或設(shè)備徹底崩潰或者取得系統(tǒng)管理權(quán)限的緩沖溢出或其它安全缺陷。路由代碼非常復(fù)雜，目前已經(jīng)發(fā)現(xiàn)并已修復(fù)了許多重要的安全問(wèn)題，但是仍舊可能存在許多更嚴(yán)重的問(wèn)題，并且很可能被黑客發(fā)現(xiàn)和利用。DNS軟件過(guò)去經(jīng)常發(fā)生緩沖溢出這樣的問(wèn)題，在以后也肯定還可能發(fā)生類(lèi)似的問(wèn)題。如果攻擊者發(fā)現(xiàn)了路由或DNS的安全漏洞，并對(duì)其進(jìn)行大舉攻擊的話，大部分因特網(wǎng)將會(huì)迅速癱瘓。   為了防止遭到這種攻擊，確保你的系統(tǒng)不會(huì)被作為攻擊他人的跳板，應(yīng)采取如下措施：   對(duì)公共路由器和外部DNS服務(wù)器進(jìn)行安全加固。如果公司的DNS服務(wù)器是為安全敏感的機(jī)器提供服務(wù)，則應(yīng)為DNS服務(wù)器配置防火墻和身份驗(yàn)證服務(wù)器。   確保DNS服務(wù)器安裝了最新補(bǔ)丁，對(duì)DNS服務(wù)器嚴(yán)格監(jiān)控。   如果你認(rèn)為是由ISP的安全缺陷造成的威脅，確保你的事件緊急響應(yīng)小組能夠迅速和你的ISP取得聯(lián)系，共同對(duì)付這種大規(guī)模的網(wǎng)絡(luò)攻擊。   5. 同時(shí)發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)攻擊和恐怖襲擊 這可以說(shuō)是一場(chǎng)雙重噩夢(mèng)：一場(chǎng)大規(guī)模的網(wǎng)絡(luò)攻擊使數(shù)百萬(wàn)的系統(tǒng)不能正常使用，緊接著，恐怖分子襲擊了一個(gè)或者更多城市，例如一次類(lèi)似9/11的恐怖爆炸事件或者一次生化襲擊。在9/11恐怖襲擊事件后，美國(guó)東部的幾個(gè)海岸城市，電話通信被中斷，驚恐萬(wàn)分的人們不得不通過(guò)E-MAIL去詢問(wèn)同事或親人的安全。由于這次襲擊，人們發(fā)現(xiàn) Internet 是一種極好的傳媒(還有電視傳媒)。但是我們不妨假設(shè)一下，如果此時(shí)爆發(fā)超級(jí)蠕蟲(chóng)，BGP和DNS被遭到大舉攻擊，那么在我們最需要它的時(shí)候它也將離我們而去,可以想象將是一種什么樣的糟糕場(chǎng)面。但是這又并不是不可能發(fā)生的。   我們要居安思危，為這種災(zāi)難的可能發(fā)生作好應(yīng)急準(zhǔn)備是相當(dāng)困難的：   作好計(jì)算機(jī)的備份工作；   除給緊急響應(yīng)小組配備無(wú)線電話外，還需配備全雙工傳呼設(shè)備；   要確保你的計(jì)算機(jī)緊急響應(yīng)小組有應(yīng)付恐怖襲擊的能力；   要假想可能出現(xiàn)的恐怖襲擊場(chǎng)面以進(jìn)行適當(dāng)?shù)难萘?xí)，以確保真正同時(shí)發(fā)生網(wǎng)絡(luò)攻擊和恐怖襲擊時(shí)，他們能夠迅速、完全地進(jìn)入角色。   也許有人會(huì)認(rèn)為我們這樣做可能都是杞人憂天，但是，筆者有理由相信這樣的事情在未來(lái)的5年中是完全有可能發(fā)生的，只不過(guò)所使用的攻擊技術(shù)可能是我們?cè)谏厦嫠信e出來(lái)的，可能是我們所沒(méi)有預(yù)計(jì)到的。   來(lái)源：信息安全