EC百科

技术性攻击方法:从病毒到拒绝服务


犯罪分子攻击信息系统和用户的方法多种多样(Suby,2013)。这里我们介绍几种比较有代表性的方法。

1-2112131IH93Q.png

为了便于学习,我们把攻击分为技术性攻击(将在本节学习)和非技术性攻击(将在10.4节学习)两种类型。

技术性攻击和非技术性攻击

技术性攻击方法的实施需要具备软件和系统知识。防病毒软件和个人防火墙使用不足以及使用非加密通信是形成技术漏洞的主要原因。

非技术性攻击方法是指网络或计算机安全遭到的威胁(如缺少安全意识方面的培训)。Sullivan(2009)的一份报告指出,“非技术漏洞是指不恰当地使用计算机和网络服务气我们认为金融欺诈、垃圾邮件、社会工程,包括网络钓鱼和其他欺诈都是非技术性攻击。社会工程的目的就是获取系统或信息的非授权访问途径,方法就是通过欺骗或引诱使没有警觉的受害者泄露个人信息,这些信息可能会被犯罪分子用于诈骗和其他犯罪。主要的非技术性攻击方法将在10.4节学习。

主要的技术性攻击方法

黑客们常通过一些软件工具(遗憾的是网络上有现成的、可以免费获取的工具和相应的使用教程)来了解有关漏洞和攻击程序的知识。主要的攻击方法如图10.3所示,下面将进行简要的介绍。需要注意的是,现在还有很多其他方法,如“大规模SQL注入”攻击,这些攻击的危害性可能非常大。

技术性攻击方法:从病毒到拒绝服务(图1)

图10.3 技术性攻击的主要方法(按重要性由高到低排序)

恶意软件是一种软件代码,设计用来相互传播。在受害者不知情或未同意的情况下感染、更改、破坏、删除或替换数据或者信息系统。恶意软件是一个统称术语,描述各种恶意代码或软件(如病毒就是恶意软件的一种)。根据Lawinski(2011),恶意软件攻击是最常见的安全漏洞,影响到22%的公司。遭到恶意软件感染的计算机系统会在犯罪分子的操纵下发送垃圾邮件或盗取用户存储的密码。

恶意软件包括计算机病毒、蠕虫、僵尸网络、木马、网络钓鱼工具、间谍软件工具以及其他恶意软件和不需要的软件。

病毒

病毒(virus)就是犯罪分子植入计算机以破坏系统的编译好的软件,运行其宿主程序就会激活病毒。病毒有两个基本功能:一是可以自我复制的传播机制,二是一旦被激活就会造成破坏。有时,一个特定事件会触发某个病毒。例如,米开朗基罗(Michelangel。)的生日激活了Michelangel。病毒。2009年4月1日,整个世界都在预防一个名为C。nficker的病毒的爆发。2014年,一种名为“Pony”(小马)的病毒感染了数十万台电脑,来盗取比特币和其他货币(Brooks,2014)。最近的一个案例是,一个名为BTZ代理的病毒攻击了位于俄罗斯、美国和欧洲的超过40万台计算机(Frinkle,2014)。虽然这次大袭击并没有造成太恶劣的影响,但各种病毒仍在不停地传播(请浏览computer,howstuffworks.com/virus.htm)。有些病毒只是简单地感染和传播.并不会造成太大的破坏。而有些病毒则会造成实质性损害(如删除文件或破坏硬件)。

据俄罗斯一家主要从事反互联网犯罪的机构卡巴斯基实验室称,基于恶意软件的犯罪正快速增长。

今天,基于Web的恶意软件比较泛滥。病毒攻击是最常见的计算机攻击。病毒攻击的具体过程如图10.4所示。

病毒的危害性比较大,尤其是对小公司而言更是如此。2013年,一种名为CryptoLocker的病毒被用来敲诈企业,在抓取到企业的计算机文件之后,它们会威胁要删除文件内容。

病毒的有关信息参见Scott(2014)和Dawnontario。对于电脑病毒的症状和诊断参见Worley(2012)。在微软的教程中,你也可以学习到如何识别计算机病毒,如何判断你是否感染病毒,以及如何做好针对病毒的防护(请浏览microsoft.com/security/default,aspx)。与病毒相似的计算机程序是蠕虫和木马程序。

技术性攻击方法:从病毒到拒绝服务(图2)

图10.4  计算机病毒的传播方式

蠕虫

与病毒有所不同,蠕虫(worm)可以自动进行复制传播(像一个独立的个体,它的激发不需要借助于任何宿主或用户)。蠕虫通过网络传播并感染电脑或掌上电脑,甚至可以通过即时消息或电子邮件进行传播。此外,和病毒的影响仅局限于受到感染的电脑不一样,蠕虫会侵入网络中的很多设备,还会影响整个网络的通信能力。根据思科公司的报告,“蠕虫既可以利用目标系统的漏洞,也可以利用某种社会工程诱使用户来激发它们因为蠕虫的传播速度远比病毒快,所以它们更加危险。

宏病毒和微蠕虫。宏病毒(macrovirus,也称“宏蠕虫”,macroworm)是一种连接到数据文件的恶意代码,而不是可执行的程序(如一个Word文件)。根据微软的报告,宏病毒可以攻击Word文件,以及使用同一种编译语言的任何其他应用程序。当文档被打开或关闭时,病毒就会传播到计算机系统里的其他文件中(请浏览support,microsoft.com/kb/187243/en)。

木马

木马(Trojanhorse)是一种貌似无害甚至有用的软件,但实际上却隐藏着恶意代码。用户会被诱使打开一个受到感染的文件,它会对宿主发起各种形式的攻击,包括从插入弹出窗口到删除文件、传播恶意软件等各种破坏活动。木马这一名称源于希腊神话中的木马。据传在特洛伊战争期间,一个巨大的木马作为礼物被献给雅典娜女神。特洛伊人把这个木马拉进了城门。夜晚时,藏在空心木马中的希腊士兵打开城门,把希腊军队放进城,占领了城池并赢得了战争胜利.

木马只会通过用户间的交互(如打开一封涉嫌假冒Verizon名义发送的电子邮件)进行传播.木马的类型多种多样(如宙斯木马,请参阅在线补充读物W32),后面将进行详细讨论。

实际案例1

Rebery网络钓鱼木马

2006年.一种名为Rebery网络钓鱼的木马被用来窃取了125个不同国家的数万份个人身份信息。这种Rebery恶意软件是一种典型的银行木马,主要用于在用户访问线上银行或电商网站时造成破坏。

实际案例2

针对WordPress的DDoS攻击

2014年3月,黑客使用僵尸网络攻击了超过16.2万个WordPress网站。由于全球17%的博客网站都是基于WordPress平台的,任何攻击都可能是毁灭性的。

—些新的安全漏洞:Heartbleed和Cryptoiocker

Heartbleed和Cryptoiocker是两种分别于2013年和2014年发现的非常危险的计算机漏洞。

Heartbleed。根据Russel(2014),**Heartbleed是openSSL的一个缺陷,openSSL是一种开源加密标准,用户想要在确保安全的情况下进行数据传输的大部分网站都需要使用这种标准。在发送电子邮件或进行即时通讯聊天时,它基本上可以为你提供一条安全线路”。

对数据进行加密,可以让发送的数据对除了既定接收者之外的其他任何人都失去意义。有时,计算机可能需要确认在其安全连接的终端是否还有一台计算机,并且它会发出所谓的“心痛”之类的一些小的数据包来要求回应。

由于openSSL执行中的一个编程错误.研究人员发现通过发送一个精心伪装的“心痛”数据包,可能会诱使另一端的计算机发送其内存中存储的数据。

这种错误的潜在危害非常大。从理论上来说,活动内存中的任何数据都可能通过这个漏洞被盗取出来。黑客甚至可能盗取到加密密钥,从而能够读取加密信息。受到影响的网站大约有6.5亿个。专家唯一的建议就是修改网上密码。MashableTeam(2014)提供了受影响的网站列表。

Cryptolockern发现于2013年9月的Cryptoiocker是一种勒索木马漏洞。这种恶意软件感染途径包括电子邮件附件等多种来源・它会对用户计算机上的文件进行加密,这样用户就无法读取这些文件。然后,恶意软件所有者要求用户使用比特币或其他类似的无法追踪的支付系统支付一定的赎金,再对数据进行解密。

拒绝服务

据Incapsula公司称,拒绝服务(DoS)攻击是指“恶意尝试使用户无法使用服务或网络,通常是把服务器主机与互联网之间的链接暂时中断或暂停气这会导致系统崩溃或不能及时响应,这样网站就无法访问了。其中最常见的一种DoS攻击方法就是“水淹”系统,黑客通过大量“无用流量”让系统过载,使用户无法访问他们的电子邮件或网站等。

DoS攻击是由一台计算机或一个网络链接造成的恶意攻击,这与DDos攻击有所不同。DDos攻击会涉及大量的设备和多个互联网链接(将在后面进行讨论)。攻击者还可以使用垃圾邮件对用户的电子邮件账户发起类似的攻击。利用僵尸电脑发起攻击是一种常见的DoS攻击方法,这可以让黑客在计算机主人不知情的情况下,远程控制计算机。僵尸计算机(也称“僵尸网络”)针对受攻击网站发起数量庞大的请求,造成拒绝服务。例如,DoS攻击者会攻击一些社交网站.特别是脸谱和推特(请参阅在线补充读物W10.1).

DoS攻击很难阻止。所幸,针对这种司空见惯的攻击方式,安全组织已经开发出了一系列针对性防护方法(请浏览us-cert.gov/ncas/tips/ST04-015)。

网络服务器和网页劫持

网页劫持(pagehijacking)是非法复制网站内容,使得用户被误导到一个完全不同的网站。有时,黑客会劫持社交媒体账号,目的就是盗取账号拥有者的个人信息。例如,2014年3月.加拿大歌手贾斯汀•比伯账号被劫持,导致其5000万粉丝成为此类攻击的受害者(Lyne,2014)。受劫持的账号会被嵌入某个可以劫持账号并自动向好友转发的恶意应用链接。

僵尸网络

微软安全中心指出僵尸网络[botnet,也称为“僵尸军团”(zombiearmy)]是一种恶意软件,那些犯罪分子利用这类软件感染由黑客控制的大量互联网计算机。然后,这些受感染的计算机便形成了一个“僵尸网络”,在用户不知情的情况下,这些个人计算机便会.“执行各种非法网络攻击”。这些非法任务包括发送垃圾邮件和电子邮件、攻击电脑和服务器、实施其他各种欺诈以及造成个人电脑运行缓慢(请浏览microsoft.com/security/resources/botnet-whatis.aspx)。

每台攻击电脑就像一个电脑机器人。据Prince(2010a),2010年一个由75000套受宙斯特洛伊木马感染的系统组成的僵尸网络攻击了全球范围内2500家公司的计算机系统。发起攻击的其中一个目的就是获取包括金融和电子邮件系统在内的脸谱、雅虎和其他热门网站的登录凭据。

Kavilanz(2013a)称我们面临着6种最危险的网络攻击,包括Timthumb攻击。黑客主要把僵尸网络用于诈骗、垃圾邮件、欺诈或仅仅是破坏系统(如在线补充读物W10.1描述的医院案例)。僵尸网络的形式多种多样,可能包括蠕虫或病毒等。那些臭名昭著的僵尸网络包括Zeus,Srizbi,Pushdo/Cutwail,Torpig,Conficker等。

Rustock是一个隐藏多年、由近100万台受劫持的个人计算机组成的僵尸网络。这个僵尸网络每天发送多达300亿封垃圾邮件,在网站上放置“诱惑陷阱”广告和链接,诱导受害者点击访问。垃圾邮件发送者伪装成个人电脑更新,看起来像常见的论坛一样,使得安全软件很难发现它们。2011年3月,微软就是帮助关闭Rustock僵尸网络的几个公司之一。2013年,微软和美国联邦调查局(FBI)联手封杀了超过1000个用于盗取银行信息和个人身份信息的僵尸网络。微软和FBI都在尝试攻破恶意软件“城堡",2012年初以来这一恶意软件已经影响了90多个国家数以百万计的用户(Albanesius,2013)。恶意的僵尸网络攻击的有关分析,参见Katz(2014)。

家电设备“僵尸网络”。物联网(InternetofThings,IoT)也可能遭到入侵。由于智能家电需要连接到互联网,它们可能会成为受到劫持和控制的计算机。第一起家电攻击发生在2013年12月至2014年1月之间,波及多台电视机和冰箱。这被看作是“首个家电设备僵尸网络和首次物联网网络攻击”。黑客侵入了超过100000台家电设备,并利用它们向全球范围内的企业和个人发送了750000封恶意邮件(Bort,2014;Kaiser,2014)。

恶意广告

科技百科全书(Techopedia)对恶意广告的定义是“用于传播恶意软件的恶意互联网广告形式”。恶意广告的做法主要是把恶意代码隐藏于相对安全的在线广告中(请浏览techopedia.com/definition/4016/malvertising)。

需要注意的是黑客发起的广告攻击正在加速增长。例如,2013年谷歌屏蔽了40多万个隐藏有恶意软件的广告形式。我们给读者的忠告是:如果你收到一封邮件,内容是恭喜你赢得一大笔奖金并告诉你“详情请看附件”,这时请千万不要打开。


再一次了解: 技术性攻击方法:从病毒到拒绝服务