3.1.3 黑客攻击方式的10大最新发展趋势自1995年黑客攻击首次出现以来,黑客攻击的方式和技术发生了巨大的变化,不仅攻击方式多样化,而且攻击的手段越来越高明,破坏性也越来越大。从1998年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动。时至今日,我们可以明显地总结出当前黑客攻击技术呈现以下几个方面的发展趋势。
1.攻击工具的功能不断增强,攻击过程实现自动化 综合10来年的发展可以看出,黑客所采用的攻击工具的自动化程度在不断提高,这也是与黑客们在程序开发方面水平的提高分不开的。这些自动化攻击工具的发展主要表现在以下3个方面。
1)扫描工具的扫描能力大为增强
从1997年起开始出现大量的扫描活动,但那时只是非常简单的IP地址扫描,而且速度慢。目前,新的扫描工具利用更先进的扫描技术,扫描功能非常强大,不再局限于IP地址,MAC地址、通信端口已成为新型的扫描对象,并且速度提高了许多。当然这主要得益于现在的网络互联带宽和网络访问速度的提高。
2)系统漏洞扫描工具不断涌现
以前,能查看系统漏洞的只是极少数专家级的黑客。现在可好了,涌现出许多新型的系统漏洞扫描工具,只要稍有一些网络知识的人就可很容易地利用这些工具查看对方系统的所有漏洞,为黑客们入侵提供了方便,也降低了黑客攻击的门槛,提高了黑客攻击的"效率"。
3)攻击自动化
在2000年之前,攻击工具需要人为来发起具体的攻击过程。现在,攻击工具能够自动发起新的攻击过程。例如,红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。
2.攻击工具越来越智能化现在黑客工具的编写者采用了比以前更加先进、更加智能的技术。攻击工具的特征码越来越难以通过分析来发现,也越来越难以通过基于特征码的检测系统发现,而且现在的攻击工具也具备了相当的反检测智能分析能力。主要表现在以下3个方面。
1)反检测技术
攻击者采用了能够隐藏攻击工具的技术,这使得安全专家通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。
2)动态行为
以前的攻击工具按照预定的单一步骤发起进攻,现在的自动攻击工具能够按照不同的方法更改它们的特征,如随机选择预定的决策路径,或者通过入侵者直接控制。
3)攻击工具的模块化
和以前的攻击工具仅仅实现一种攻击相比,新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且,攻击工具能够在越来越多的平台上运行。例如,许多攻击工具采用了标准的协议,如IRC和HTTP进行数据和命令的传输,这样,想要从正常的网络流量中分析出攻击特征就更加困难了。
3.攻击门槛越来越低由于现在攻击工具的功能已非常强大,而且大多数又是免费下载的,所以要获取这方面的工具软件是毫不费劲的。再加上现在各种各样的漏洞扫描工具不仅品种繁多,而且功能相当强大,各系统的安全漏洞已公开化,只要稍有一些网络知识的人都可以轻松实现远程扫描,甚至达到攻击的目的。正因如此,现在的黑客活动越来越猖獗,犯罪分子的年龄也在不断下降。有的小学生也参与到了"黑客"行列。
4.受攻击面更广随着各种宽带接入(如ADSL、Cable MODEM和小区光纤以太网等)技术的普及,现在许多单位和个人都采取永久在线的方式上网。即使不是专线接入,在线的时间也远比以前电话拨号的方式长。这样就为黑客们提供了宽松的攻击环境,可以有足够的时间来实施对目标的攻击。所以,现在遭受攻击的用户面比以前广了许多,几乎所有上网的个人和单位都可能遭受黑客的攻击。
5.变种病毒数量不断翻番,防不胜防
由于很多病毒源代码被病毒作者公开并可以下载,甚至对于有些代码还提供完整的说明文档、相应工具和示例,这样其他人基本不需要特别的技能,仅仅通过修改配置文件和部分源代码就可以编译生成一个新的病毒变种程序。
据瑞星全球病毒监测网(国内部分)的数据显示,2004年我国大陆地区网络病毒变种数量相对上一年大幅度增加。截止到2004年12月6日,瑞星公司共截获SCO炸弹(Worm.Novarg)变种27个,恶鹰病毒(Worm.BBeagle)变种64个,波特间谍(Win32.Spybot)变种442个,高波病毒(Worm.Agobot.3)变种760个。据估计,这些病毒的变种在将来还会不断出现。
6.漏洞发现得更快 每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1 090个,2001年为2 437个,2002年已经增加至4 129个,就是说每天都有十几个新的漏洞被发现。可以想象,对于管理员来说想要跟上发布补丁的步伐,为软件一一打上补丁是很困难的。而且,入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具日趋自动化,留给用户打补丁的时间越来越短。一旦漏洞的技术细节被公布,就可能被病毒利用进行大规模的传播。
比如,从2004年4月14日LSASS溢出漏洞(MS04-011)被公布,到5月1日利用此漏洞进行破坏传播的震荡波病毒(Worm.Sasser)的出现仅用了短短的17天。而瑞星公司于2004年11月9日截获的SCO炸弹变种AC/AD(Worm.Novarg.ac/ad)则利用了一个还没被软件厂商(微软)公布的IE漏洞进行传播。可见,漏洞被病毒越来越多地利用,这就需要安全防护产品本身能够对漏洞进行防范和修补。
7.防火墙也开始变得"无奈"我们通常认为防火墙是最安全的,常常依赖防火墙提供安全的边界保护。但是现在这种情况正在发生悄悄的改变,已经存在一些绕过典型防火墙配置的技术,如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning),也有一些协议实际上能够绕过典型防火墙的配置,使防火墙本身也变得非常无奈。当然防火墙仍是防止攻击的主要措施之一,这一点毋庸置疑。
另外,随着Internet网络上计算机的不断增长,所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵,它就有可能成为入侵者的栖息地和跳板,成为进一步攻击的工具。对于网络基础架构,如DNS系统、路由器的攻击也越来越成为严重的安全威胁。
8.国产木马、后门程序成为主流从2004年1月1日至2004年12月10日,瑞星全球病毒监测网共截获病毒26 025个,比2003年全年增加了20%。其中,木马13 132个、后门程序6 351个,蠕虫3 154个,脚本病毒481个,宏病毒258个,其余类病毒2 649个。从这些数据可以看出,在2004年出现的病毒中木马和后门程序最为活跃,已取代蠕虫病毒成为主流。而在这之中,国产的木马程序又占了绝大多数,且越来越多的木马开始以窃取真实财产为目的。
9."网络钓鱼"形式的诈骗活动增多
"网络钓鱼"(Phishing)是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。受骗者往往会泄露自己的个人信息和财务数据,包括个人的真实信息、联系方式、E-mail地址,以及银行卡号、账户和密码等。
"网络钓鱼"比较典型的做法是通过发送垃圾邮件,采用欺骗方式诱使用户访问一个伪造的钓鱼网站,这种网站通常会被做得与电子银行或者电子商务等网站一模一样,某些粗心的用户往往就会不辨真假,下载木马程序或者填写个人的登录账号和密码,从而导致个人财产失窃。
在2004年12月初,网上出现了假冒的中国银行网站。该假冒网站的网页与中行网页十分相似,在仿冒网页上有输入账号和密码的区域,而中行的官方网站没有这些内容。但当用户在仿冒网页上输入账号和密码后,页面显示的是系统维护。实际上此时用户的银行账号和密码已经被窃取。
据瑞星反病毒专家分析,在未来的一段时间里,针对股民、网络银行、网上购物用户的网络钓鱼式诈骗活动将越来越多。
10.黑客攻击"合法化""组织化"
经常在网上见到的某某黑客联盟、红客联盟,打着保护国家、民族利益的旗号公然发出向其他国家或民族发动网络攻击的号召。如前段时间,我国与日本的关系出现一些紧张,在网上就有许多这类组织公然宣称要向日本发起攻击。大家看到这些,似乎觉得黑客攻击已合法化、组织化。其实这是一种错觉,这样的攻击不可能合法化,一旦形成事实,还是要付出代价的。这一点请广大网络爱好者务必记清。至于某某组织,也只是他们自己这么称谓,一般不是什么公开的固定组织,只是一些爱好者的松散联盟而已。
【责任编辑:
雪花 TEL:(010)68476606-8007】
