李海明:互聯網病毒傳播和攻擊的新趨勢
2009-08-27 07:51:10圖:瑞星互聯網攻防實驗室工程師李海明
李海明:各位領導、各位嘉賓、大家好!我是瑞星公司的李海明,今天非常有幸能夠參加這個互聯網安全技術大會,在此對大家的到
相關專題:共建可信任的互聯網 2008瑞星互聯網安全技術大會
圖:瑞星互聯網攻防實驗室工程師李海明
李海明:各位領導、各位嘉賓、大家好!我是瑞星公司的李海明,今天非常有幸能夠參加這個互聯網安全技術大會,在此對大家的到來首先表示感謝!感謝王總給大家談了很多數據,很多可能令大家觸目驚心的數字,接下來我給大家具體的聊一聊互聯網病毒傳播和攻擊的新趨勢,其實也是分析一下數據背后我們的一些新的發現。
首先看兩個真實的案例,第一個講述的是普通的計算機用戶在無意間瀏覽了掛馬病毒的網站導致系統癱瘓的過程。這是一個健康的系統,像我們平常大家用的系統一樣裝有很多自己的應用軟件,像媒體播放器還有很多很多的應用,這時候實際上我們看到所有的工具都是可以正常使用的,這是一個非常健康的系統,我們的電子讀書器等等,應用軟件都是良好的狀態。一旦我們無意間上了一個掛馬的網站之后就有可能導致整個系統健康狀態的破壞。看一下,PPlive也可以正常用的也可以正常連接,一旦訪問了一個惡意網站之后出現了什么事情?大家請注意,這個網址是被掛馬的網站,馬上進行了一個跳轉連接到另外一個網站,這個網站已經被植入了木馬病毒,底下IE的進度條不斷的在前進,但是系統的狀態?這就是真實的,系統的狀態幾乎是沒有響應的狀態,實際真的沒有響應嗎?這只是表面的一個現象,大家現在看到的就是有可能有的朋友經歷過的一些事情,我們一旦訪問了惡意網站,這時候我們的計算機就不聽使喚了,沒有響應了,我們可能以為死機了,但是實際上后臺還在做很多事情,當然現在我們看不到,待會兒會給大家答案。這時候提示Windows的虛擬內存太低,說明有什么東西已經耗費了我們的資源,遇到這種情況大家可能只能重啟計算機。我們重啟了之后來看,進入系統之后,自動打開了剛才那個網頁這時候我們再注意觀察一下,我們的開始菜單里面,我們所有的程序圖表都變成了另外一種,而且應用程序都不再可用了,而且Windows也提示系統的軟件被替換了,所有的應用程序都不可用了。那我們進系統里面看看出了什么事情了?雙擊磁盤進不去了,用這種程序進去,進去以后變成這樣了,大家可能有一個意識——我中招了。熊貓燒香就是這樣子,感染了以后系統就成了這樣,剛才我們看到的就是表面的現象,為什么會出現這樣的問題呢?可能很多朋友會有疑問我只是訪問了一個網站,一個很簡單的操作什么東西都沒有做,為什么會這樣?
看一下,首先打開系統的目錄,大家知道這是我們平時的一些應用,一些臨時的文件放在這,現在是正常的狀態,一旦我訪問了惡意網址之后,我們看,在打開頁面的同時,我們看到的只是表面的現象,后臺恰恰地下載了很多的程序,進程里面也有很多未知的進程,這就是發生的變化。下載了無數的病毒的軟件,而且都悄悄的無聲無息地執行起來,這就是剛才大家看到背后的情況。所以很多朋友看了以后可能心有余悸,或者覺得感同身受,沒錯,因為這就是很真實發生在我們身邊的事情,有可能大家在工作中遇到的情況。
剛才看了這么多,大家估計會想,病毒真的就這么厲害嗎?這是我們在一些各大安全廠商,殺毒廠商的論壇上截取的一些信息,我們看到像用戶的這種困惑、無奈和無助屢見不鮮,病毒真的有那么厲害嗎?是技術上有突破了嗎?還是做病毒的人更多了?實際上怎么樣的?我們一會兒再解釋。制造病毒的人數量在增加,但這不是根本的原因。根本的原因在哪里?
我們先回顧一下病毒的發展史,早期CIS大家都知道,到2000年的時候出現了愛存病毒,通過電子郵件傳播,03年出現了蠕蟲王的病毒,04年振蕩波的病毒,大家那時候開始意識到我們操作系統的補丁是多么重要,06年熊貓燒香病毒。今年最新的木馬群的病毒,利用第三方的漏洞來進行傳播。實際上我們看到這么多的有代表性的典型的病毒,他們的傳播方式,他們所利用的一些機制都在悄悄地發生一些變革,之前的病毒更多的是去破壞我們的系統和網絡,現在的話,我們更多的看熊貓燒香也好,木馬群也好,更多的會去盜取用戶的帳號,會有這樣的一些改變,這實際上就是我們談到的電腦病毒傳播和攻擊的新趨勢。計算機病毒已經實現了互聯網化,那么什么是互聯網化?什么是計算機病毒實現了互聯網化?我們來做一下對比,首先從目的上來說,過去的病毒和現在的病毒有什么不同呢?過去的病毒制造者是出于宣揚技術或者惡作劇的目的開發的,現在更多的是以經濟利益為目的,就是我制造這個病毒是為了獲取經濟利益,往往后面有集團化的運作,技術上沒有什么根本性的變革。從傳播途徑上來說,我們看到90%以上的傳播都是通過網頁掛馬的方式。我們需要看到這個對比,需要了解的就是過去的病毒和現在的病毒最大的不同,就是過去更多是單兵作戰現在有明確的分工,誰生產誰傳播?有一整套的流程化的東西,這些就是過去和現在的變化。
我們看這張圖,這是剛才我們一直在提互聯網病毒的產業鏈,那么什么是產業鏈?從左下腳,我需要有漏洞的挖掘者,利用這個漏洞制造病毒,然后有人收購這個病毒,那就是病毒持有人,接下來持有人賣給病毒的銷售人員,銷售人員把已經成型的病毒賣給需要的人,就是我們所說的盜號者,盜號者把這些病毒通過流量商植入這個網站里面,網站成為了傳播的平臺。那我們說了是經濟利益,那最終錢從哪兒來?就是計算機用戶,一旦計算機感染病毒以后,計算機里存儲的帳號、密碼、個人的財產,包括企業里機密的信息都有可能轉化為金錢這就是整個互聯網病毒的狀況,分工非常明確,就像真實的商業公司一樣有研發團隊、策劃團隊、銷售團隊,甚至可以有售后服務隊伍,我可以按照你的需要定制,這就是很明顯的體制,這就是變化這就是互聯網病毒產業鏈。
我們看木馬病毒的制造,這是流水線的工業化生產模型,首先是漏洞的挖掘,這是前期做的工作,一旦漏洞挖掘成功,我會根據漏洞做網頁的木馬,目的通過利用這些漏洞入侵計算機用戶當前的系統。第三個,盜號木馬入侵完你的系統了要做什么?就是要掠奪里面的資源。還有一個病毒化解器,就是一旦你被感染了一次,他就會從網站上不停的下載很多的病毒,只要一次感染之后會經常遭受這樣的侵襲,這就是整個的流水線式的工業化生產模型。
我們首先看漏洞挖掘,左邊的是漏洞挖掘的流程的狀況。在早期,很多安全工作者,挖掘完網絡漏洞之后會把信息報告給相關的廠商,廠商會基于這些漏洞把當前的系統進行補丁修補。現在漏洞挖掘取決于漏洞挖掘的道德,我不需要做病毒,我只需要挖掘出漏洞的信息,把這個信息就可以出售,就可以換錢,這就導致很多漏洞的信息在網上出售。我們來看右側就是黑客網站的截圖,左邊是漏洞的名稱,中間是它所在的平臺,我們看到有Windows的,有WindowsXP,很多,最右邊是價格,我們看到這就像一個超市一樣,很真實的狀況。接下來網頁木馬和盜號木馬的制作,先看網頁木馬的制作。我利用這個模板可以根據我的需要,我需要去利用哪個漏洞,漏洞可以利用這個統一的模板操作。右側更簡單了,盜號木馬只需要選擇你想要盜什么游戲的帳號就可以了。實際上經過剛才這些大家已經看到,現在的互聯網病毒更多是模塊清晰,分工明確。現在的病毒它的威力更大,破壞性和傳播速度遠遠的超過以前。
再看傳播,傳播的話剛才我們提到有超過90%的傳播途徑都在利用網頁掛馬,如果網站的訪問量很大的話,這些訪問的用戶都可能成為掛馬之后的受害者,如果我擁有大量的流量的話,大批的用戶只要訪問這個網站,很簡單的一個操作就可能成為我控制的目標。所以很多病毒的傳播者,他們會去利用各種手段來提升掛馬網站的一些訪問。比如說首先我們可以通過收購一些流量掛馬的方式,比如說收購一些大的色情網站,或者收一些廣告的網站,這地方可能擁有大量的網絡流量。第二種提到的大型的網站,他可以雇傭黑客入侵達到掛馬的目的。第三種也可以利用SEO計算,通過一些算法,優化我欺騙性的網站的排名,更容易的讓用戶去點擊,包括用P2P的形式給大家下載一些軟件,這都是木馬病毒傳播的主要的方式。
剛才提到了很多病毒很厲害的一面,那很多朋友在想,我們的殺毒軟件呢?我們的殺毒軟件本身就是用來殺病毒的,防御的,那我們的殺毒軟件呢?實際上我們看到,殺毒軟件在現在這種狀況下,傳統殺毒軟件會有他的很多的困境,首先漏洞利用率來講,現在我們看到超過6層的漏洞利用都是針對于我們的應用程序,常見的應用程序,比如說剛才大家看到的,都是第三方的漏洞,這些越來越成為病毒制造者關注的重點,因為我們用戶或者廠商對這方面關注的意識要薄弱一點,而且平常你裝一個什么應用軟件,如果不是為了體驗什么功能,一般不會去進行安全更新,這實際上就是我們需要轉變的地方。
第二個,通過加密變形的方式,以前我們可以利用網頁監控的方式來查殺這些掛馬的網頁,防止一些腳本病毒侵害用戶的電腦。但是我們看這是一樣的兩個文件,左側是原文件,右側是加密后的文件,傳統的特征碼的方式是無能為力的,而且這種加密變形我可以進行多重的計算,可以變形多次,也可以通過不同的算法來做,那對于殺毒軟件來說傳統的已經不太適應。
第三個ARP攻擊,很多朋友都知道ARP攻擊,首先黑客訪問他在網絡上的一個匿名空間,這存的是他的病毒,他已經獲取了一個網站權限,他登陸以后就會在這個網站上掛置一些木馬。ARP攻擊就是受侵害的電腦會成為一個攻擊源,不斷地對局域網的電腦技術攻擊。看一下,對于大家來看,頁面上沒有顯示,因為是零乘零的,但是實際上已經在執行這個代碼,然后我們現在訪問這個掛馬的頁面,訪問之后就會啟動ARP攻擊的程序,在真實情況下是不存在,我們是為了讓大家看所以設定的。真實的病毒在后臺可能把這些已經做好了,已經內置了這樣的參數。我們現在啟動另外一臺電腦,局域網的機器,來訪問任意一個網站,只要局域網里面有這樣一臺電腦,我們訪問任何一個網站都會被插入一個代碼,我訪問任何一個頁面,里面都被插入了那么一段字,目的就是為了連接到剛才黑客登陸的匿名空間下載病毒。這就是另外一種方式,病毒的傳播者通過ARP的攻擊手段擴大攻擊的范圍。
最后安全威脅無處不在,可能朋友會這樣想,既然我們通過瀏覽網頁的方式不安全,那是不是我訪問網頁的時候注意一些就可以了呢?答案是否定的,比如說你看我們的播放器,他們也會內置一個網頁,連接到他們的主頁,還有其他的工具都應用了鑲嵌的技術,不單單是瀏覽器,不單單是網頁可以掛木馬,MP3等等都可以進行掛馬的操作。所以我們說安全威脅無處不在,因此,并非只在瀏覽網頁的時候才有可能中木馬。
總結一下,第一點網頁掛馬是計算機病毒傳播的主要傳播源,謀取經濟利益是他們的根本目的。第二點,普通的用戶通過自身的安全意識很難去防范。第三通過加密變形,網頁木馬可以躲避傳統的殺毒軟件的處理。再有只要我們的計算機被感染一次就有可能長期成為目標。綜合這些我們說互聯網病毒傳播和攻擊的新趨勢,就是計算機病毒已經實現了互聯網化,這就是今天闡述的重點的內容。說了這么多大家會有疑問了,病毒這么厲害,那我們怎么保證良好的上網環境呢?作為反病毒廠商是不是就在病毒面前無可奈何呢?當然不是,怎么做呢?稍后我的同事會給大家帶來瑞星的答案,謝謝大家!