读《警惕！2007年网络攻击十大手段》感言

Dr_lim

IT168的文章
警惕！2007年网络攻击十大手段
【IT168 专稿】当前网络安全现状非常糟糕，首先是很多个人空间和中小型网站上挂马成风，不少大型网站也有被攻破并挂上自动下载木马的代码，现在在博客上用JavaScript加入攻击代码也开始有了。各种病毒木马层出不穷，他们不但数量上越来越多，每年的增长速度超过了50%以上，编写的技术也越来越先进，现在就来介绍一下当前一些病毒木马方面的新的发展趋势。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
所言不假，但是不够敏感，因为这类攻击很早就有，只不过2007是地球人都知道了....

    1、驱动级编写的病毒木马流行
    驱动级的病毒木马已经开始不断出现，只要感染了就会取得很高的系统级别。不少自我防护能力不够的杀毒软件就会轻易的被他干掉！子母配套的高级病毒也是层出不穷，系统本身的保护程序会保护有极大危害的子程序，发现这些子程序被杀除就会自动恢复生成，让杀毒软件无法杀绝。现在在国内肆虐的流氓软件不少也采用了这种驱动级的编程技术，所以很多流氓软件要到安全模式下杀除也这个原因！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
我第一次遇到“驱动级”这个词是查杀“中文上网”这个流氓软件，现在到处都这类流氓，应该不叫流氓了，比如MY123 飘雪 都算得上是病毒了，而且一抓就是一把。
我经常用解决办法 :
在原系统环境下
 1 瑞星搞的卡卡助手，很多人不理解“碎甲”是什么，如果经常逛 一些关于Rootkit技术的网站就很清楚，因为涉及系统底层驱动，碎甲技术个人认为是以毒攻毒的手段，对系统来说比较的危险，不过暂时没发现中驱动级木马后装卡卡有蓝屏的现象。
2 SRENG 冰刃这2个也是不错的工具，但是它们都不会直接告诉你哪个驱动是木马的，哪个是设备和软件的，如果是菜鸟胡删一通，蓝屏估计不可避免
综上 在原系统环境下查杀有一定危险，请随时准备重装系统的准备。
很好的解决办法是在 另一个系统环境下查杀，比如DOS XPE，可以把可疑的驱动转移，然后回原系统测试，这样做安全，但是非常浪费时间，某些网友有GHOST备份都愿意直接恢复，我个人不太愿意这样做，因为很多个人设定又要重来，耗废更多时间。追求完美的网友可能还没等看完，就format重装了，呵呵。



2、针对特征码的免杀技术
    病毒和木马加壳现在已经是很常见了，特别是某些病毒在编译时采用随机算法加密，这样不但特征码很难匹配，而且样本分析难度也很高。一些运用了变形技术的壳也成为病毒制造者的常用工具，更厉害的是某些利用了虚拟机技术和驱动级保护技术的强壳更是强悍，这些手段对于提取特征码为主要杀毒手段的杀毒软件都是噩梦！现在就是老病毒经过分析各大主流杀毒软件所提取的特征码并修改病毒的相应位置也可以轻松的躲过他们的剿杀！
-------------------------------------------------------------------------------------------------
 那些养马遛马 的大虾估计都不屑于看，毕竟现在说起 加壳 加花改 特征码都很普遍了，网上这类工具一堆一度的。我觉得如果个人用户最好还是关注一下的好，这条新闻告诉你，你不能把重要信息完全交给杀毒软件，它们也会被骗。
  解决办法：
 1 给杀毒配一个HIPS吧，很少有国内木马通过改特征码可以过两关的。
 2 用可疑文件扫描软件也可以找到你不放心的东东，交给那些N个杀毒引擎的网站，让这匹木马闯闯铜人阵也是很精彩的嘛，呵呵
  3 如果你不幸还是没逃过木马最杀，建议你在杀毒 HIPS后再加一道防火墙，把那些会向系统外发信息的通道全做好信息过滤（比如邮件SMTP端口)但是发到80端口上的你可能就没办法了...
3、全新的网络钓鱼技术
    网络钓鱼诱骗现在也开始逐渐越来越猖狂，现在的网络钓鱼已经不是某些人认为的那样，只是通过电子邮件和网络连接诱骗网民来点击转到钓鱼网站了！厉害的黑客是攻击DNS服务器，让他们对正常的网站访问自动转向到钓鱼网站。还有新型的智能重导向病毒也开始出现，即使你在浏览器中输入了正确的银行网站地址，该软件同样可以把这个地址导向到诱骗者的网站上！这是因为病毒在您的电脑上监控了几十个，甚至上百个可用的伪造银行网站，只要您尝试登陆到银行的网站，该软件就会把浏览的地址导向到一个可用的伪造网站上！加上伪造的可以乱真的网站，很多用户就这样不知不觉的被盗取了账号和密码！
--------------------------------------------------------------------------------------------------
 DNS重定向的确是有，但我发现我们这里的电信喜欢用，如果电信都这样，我们上网还有什么安全可以言。
解决办法：
1 别去搞网银了，直接到银行吧。不过这个年头银行拿钱也是一件比较危险的事，不少新闻报道某人取钱被骗卡，某人取钱被劫...
2 如果你对网银还有信心，那么就多几个心眼，比如 第一次故意输错帐号或密码。看看网页有什么异常变化，很多小贼能模仿网银，但经常会在拿到帐号密码就露出马脚 ,安全证书 U盾什么都可以相信，但是不能全信，多几个心眼保证你的钱还在手上。

    4、被滥用的Rootkit技术
    当前国际上用Rootkit技术入侵逐渐开始风行，Rootkit原先是在Unix下流行的一种复制的入侵技术，是入侵者或非法的黑客为了隐藏它存在的痕迹和使用其系统而执行未经许可的功能,用来破坏计算机获取使用权的一套软件工具。现在在Windows下也越来越流行，Rootkit第一次在Windows平台下被大家熟知是前年的索尼音乐CD事情，索尼为了隐藏版权保护文档，在音乐CD中安装了Rootkit软件。一些病毒木马就开始用索尼音乐CD中Rootkit软件来隐藏他们，今年8月初，黑帽(Black Hat)大会上波兰专家Joanna Rutkowska（乔安那•鲁特克丝卡）利用RootKit技术冲破Vista的安全防范成功侵入系统内核让大家进一步了解了RootKit的威力。现在的Rootkit技术发展十分可怕，已经开始出现可以入侵磁盘引导区和BIOS的Rootkit技术。虽然目前只是在一些安全公司的手中实现了，但是相信真正诞生出这种病毒应该只是时间问题，当年的CIH噩梦虽然随着Windows2000架构的流行逐渐消散，随着Rootkit技术的被滥用，新的噩梦什么时候会到来？更要命的是，一些Rootkit的制造者现在已经开始销售这些工具，或是免费把他们传播出去。这样很多没有很高技术背景的病毒制造者也可以轻易的制造出Rootkit病毒！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
  替换系统文件这个就是ROOTKIT要做的事情，难道我们必须对系统每个文件都记录指纹码？入侵磁盘引导区和BIOS的Rootkit技术，什么概念？就是说你买电脑的时候，你的爱机就已经被植入木马，我一直在考虑什么时候我们的主板和硬盘要安全证书
解决办法：
  高手可以自己修改引导区、编写操作系统，BIOS ... 我们菜鸟就只能低格硬盘，刷刷BIOS。重装系统.
5、虚拟机病毒的梦魇
    目前正在风行的虚拟机技术也可能被利用来隐藏病毒！微软研究室与密西根大学的研究人员一同创建了一个基于虚拟机的后门—SubVirt。SubVirt实现了在操作系统下底层构建一个虚拟机监视器，其可以使得木马本体在宿主操作系统中不可能被发现，因为其运行状态根本不可能进入宿主操作系统的安全软件监控之中。这样的话，虽然操作系统在正常的运行，但真正处于掌控地位的是虚拟监视器，它可以完全控制操作系统所接触到的每一项操作，或是所看到的每一件事！虽然这种技术对技术要求很高，但是谁知道那天那个鬼才或者精悍的小组可以把他用在编造病毒上呢？
-------------------------------------------------------------------------------------------------
 又是虚拟机，国内某安全公司在发表首创虚拟机技术时（东西是不错的，当然炒作的东西我没看），我只有一个想法，国产的安全软件终于有点资本了。不过换一个角度想想，虚拟机的技术门槛已经很低了，如文中所说，可能不久就有人做出这类木马，确实是一件很可怕的事情。
 解决办法：
  格式化，重装系统永远是我们菜鸟的痛 ，不过如果你已经打好系统补丁，杀毒+HIPS+墙 全上情况下还被植入这类木马，你也只能认命了。 我猜对付的技术应该也是以毒攻毒，安全厂商肯定也会搞一个虚拟机保护盾。

    6、漏洞百出的Windows系统
    随着技术的进步，微软的Windows操作系统虽然安全程度越来越高，在全球的高手研究下，还是有不少漏洞被发现。看看微软每个月都会做出的安全更新就知道了，我们总是在无休止的为系统打补丁！很多病毒制造者也在研究利用微软的漏洞，造成不少零日攻击(zero-day exploit)事件（在漏洞发现的同一天就发生了攻击事件）的发生！微软的反应虽然还是比较迅速的，但是对于零日攻击，很多用户还是欲哭无泪……。最新的Vista刚刚发布，就暴露了不少漏洞，更有俄罗斯的高手高价出售Vista的一个漏洞（其实高级别的Windows系统漏洞在地下渠道高价出售已经是半公开的秘密）！

    下半年随着微软拒绝把64位Vista里面的PatchGuard功能对安全厂商开放，不少安全产品都需要进入系统核心来查杀病毒，但是PatchGuard功能封锁了系统内核，于是各个厂商和微软开始斗智斗勇，没有多久，其中最激进的Authentium宣布已经破解了PatchGuard，可以让他的杀毒软件突破PatchGuard保护进入系统核心。赛门铁克虽然发布了自己的安全产品，但是也宣布PatchGuard可以让他完全失效。现在也有消息说一些黑客已经破解了PatchGuard，如果能够破解PatchGuard的病毒进入系统，那不但可以在系统中为所欲为，大部分安全软件也会随之崩溃！虽然最近微软把Vista核心编写保护程序部分的API程序代码公开给了安全厂商，但是情况显然也不如微软预期的那样乐观。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
 Windows 我们还能说什么呢？
   我还是在Windows下写这些东西的，不过我最近也在试着改变，比如用Freebsd系统，感觉还不错，虽然麻烦了点。如果你是安全发烧友，请你多关注一下 类Unix系统，世界上还有OpenBSD这类的系统。  
 解决办法：
  找个你能用的类Unxi操作系统，如果你还是很不习惯，学着习惯，多少你可以学到关于计算机更多的东西。

  9、不知不觉的无线入侵
    在大家印象中，基于FreeBSD架构设计的MAC OS是安全。但是今年在黑帽大会上， SecureWorks小组利用他无线网络驱动的缺陷，只需要60秒就可以成功的控制MAC OS！其实在Windows平台这样的案例更多！这随着INTER的迅驰架构的逐渐流行，无线局域网现在也大行其道，在很多实际的案例中，由于加密技术的缺陷以及部分用户的大意，经常有无线局域网用户被攻击的事情！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
   MAC OS 的无线漏洞在网上有视频，感兴趣的朋友可以搜索一下，不过我认为这个不是系统自身的缺陷，是Intel 公司为了商业利益急功近利强推 迅驰造成的（正如当年微软强推IE一样，现在IE也满身是洞），不过技术进步是一件好事，多多少少付出点代价，最近我在趋势的安全套装上发现有WiFi墙，说明安全厂商已经关注无线安全这个问题。
 解决办法：
  如果无线上网，你花点时间可以关注一下无线防火墙这类东东。
    10、出卖你的硬件驱动
    在黑帽大会上， SecureWorks小组利用MAC OS无线网络设备驱动的缺陷，轻松控制MAC OS系统后声称，用同样的办法也可以轻松控制Windows和Linux系统！他们认为硬件驱动程序破解虽然原来是一项技术难题，但是现在出现了新的工具软件可以利用，就容易多了。相信未来通过破解硬件驱动来入侵会是不少高手的选择。
  -----------------------------------------------------------------------------------------------
 你可以是菜鸟，当然如果不想被盗取信息，菜鸟先飞，没错的，及时更新有安全问题的驱动，这个都是举手之劳。
  后记：鉴于现在的网络状况，由于未知的威胁比已知要大很多，传统的以特征码为基础的杀毒软件已经越来越有心无力，因为他们只能查杀已知的东西，对于零日攻击造成的损失无法避免，通常都是在上百万的用户遭难后杀毒软件才更新特征码。更何况即使是更新了，感染了系统的那些编写完善的病毒已经取得了很高的系统级别，恐怕先被干掉的是杀毒软件！2007年的网络攻击不仅包含有以上所述十大手段，还有更多的新攻击手段正在展现。我们所期望的，那就是在政府部门、安全厂商、广大网友的共同努力下，合力抵御这一波又一波的攻击，保障我们的电脑安全。
--------------------------------------------------------------------------------------------------
 上面的口号不错，但是提高自身计算机安全意识才是关键。把熊猫作者抓住不能让熊猫停止传播，世界顶级的杀毒软件没更新没设置。在熊猫面前也是摆设，相反我在google上确搜到了很多手刃熊猫病毒的办法，可见态度决定一切。

bridgewr

好帖，谢谢楼主的分享，让大家多了解病毒的动态，也能事前作一些防范。

6334981

解释的好啊

jojo1976

呵呵 好贴啊 说得不错

deane_tiantian

其实WINDOWS是最安全的系统，只不过它招牌太大，黑客都盯着它，没有办法啊

diketaozi

道高一尺，魔高一丈

liaoying112

好像是哪个网站?你转的吧！！
哦．是个网的．我看过．
你骗谁啊

我爱舒畅

这是张好帖,谢谢LZ分享