本文选出了在过去五年里影响最广,破坏最强的五种恶意攻击,并且还预测了在今后的五年中可能影响最大的五种攻击手段。
一、五种影响最大的攻击
1. 红色代码(2001)
2. 尼姆达(2001)
3. Melissa(1999) 和 LoveLetter(2000)
4. 分布式拒绝服务攻击(2000)
5. 远程控制特洛伊木马后门(1998-2000)
二、未来的五种攻击手段
1. 超级蠕虫
2. 隐秘攻击(Stealthier Attacks)
3. 利用程序自动更新存在的缺陷
4. 针对路由或DNS的攻击
5. 同时发生计算机网络攻击和恐怖袭击
回顾在过去五年中因特网所遭受的一连串的攻击,虽然不乏传播速度惊人、受害面惊人,或穿透深度惊人等令人们措手不及的恶意攻击,但最后都还是被人们所一一战胜。但是在经历了这一次又一次的洗礼之后,我们的网络现在是不是变得坚不可摧了呢? 这是一个很难回答的问题,尽管大家都希望网络是强壮的。
根据对两百多个读者的调查, 我们选出了在过去五年里影响最广,破坏最强的五种恶意攻击,并且还预测了在今后的五年中可能影响最大的五种攻击手段。
需要说明的是,以下的选择和预测肯定是不能完全符合每个人的观点的,但笔者相信,我们的选择和预测结果应该还是很有代表性,和很有意义的。
一、五种影响最大的攻击
选择结果之所以如此,是因为它们中的每一种攻击的破坏力在当时都几乎撼动了大多数人对英特网的信心,从企业的CEO、CIO到系统管理员、网站管理员,甚至到家庭或公司的终端用户都几乎"谈网色变"。他们对电子商务的安全性空前地怀疑,即使在打开自己的电子邮件时也是忐忑不安,犹豫不决。总之,在当时他们所表现出来的恐慌简直令笔者感到震惊。
1、红色代码(2001)
2001年7月的某天,全球的IDS几乎同时报告遭到不名蠕虫攻击。信息安全组织和专业人士纷纷迅速行动起来,使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析,最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现,微软也发布了相应的补丁程序,但是却很少有组织和企业的网络引起了足够的重视,下载并安装了该补丁。
在红色代码首次爆发的短短9个小时内,这一小小蠕虫以速不掩耳之势迅速感染了250,000台服务器,其速度和深入范围之广也迅速引起了全球媒体的注意。最初发现的红色代码蠕虫还只是篡改英文站点的主页,显示“Welcome to http://www.worm.com! Hacked by Chinese!”等信息。但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动DoS(拒绝服务)攻击以及格式化目标系统硬盘,并会在每月20日~28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。之后,红色代码又不断的变种,其破坏力也更强,在红色代码II肆虐时,有近2万服务器/500万网站被感染。
红色代码就是凭着这样过硬的"本领",在我们的1997至2002年网络攻击之最的民意调查中与Nimda以占选票 44%的绝对优势位居榜首。
从红色代码的肆虐中网络用户可以得到以下启示:
只要注意及时更新补丁和修复程序,对于一般的蠕虫传播是完全可以避免的。因此作为系统管理员在平时应该多注意自己的系统和应用程序所出现的最新漏洞和修复程序,对于提供了修复程序和解决方案的应立即安装和实施。
在网络遭到攻击时,为进行进一步的分析,使用蜜罐是一种非常行之有效的方法。
红色代码猛攻白宫之所以被成功扼制,是因为ISP们及时将路由表中所有白宫的IP地址都清空了,在这一蠕虫代码企图阻塞网络之前,在因特网边界就已被丢弃。另外,白宫网站也立即更改了所有服务器的IP地址。
2.尼姆达(2001)
尼姆达(Nidma)是在 9/11 恐怖袭击后整整一个星期后出现的。笔者现在还清楚地记得因为美国的网络常常成为恐怖组织和对其怀有敌意的黑客的攻击目标。另外,地区之间的冲突和摩擦也会导致双方黑客互相实施攻击,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒,一些安全专家甚至喊出了“我们现在急需制定另一个‘曼哈顿计划’,以随时应对网络恐怖主义”的口号,由此可见尼姆达在当时给人们造成的恐慌。
尼姆达病毒是在早上9:08发现的,它明显地比红病毒更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经济损失。
同"红色代码"一样,"尼姆达"也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于,"尼姆达"通过多种不同的途径进行传播,而且感染多种Windows操作系统。"。"红色代码"只能够利用IIS的漏洞来感染系统,而"尼姆达"则利用了至少四种微软产品的漏洞来进行传播:
在 IIS 中的缺陷;
浏览器的JavaScript缺陷;
利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件;
利用硬盘共享的一个缺陷,将guest用户击活并非法提升为管理员。
在一个系统遭到感染后,Nimda又会立即寻找突破口,迅速感染周边的系统,并站用大部分的网络带宽。
从Nimda蠕虫病毒播发的全程和特点来看,网络用户又可以深刻地认识到:
对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的。
为阻断恶意蠕虫的传播,往往需要在和广域网的接口之间设置过滤器,或者干脆暂时断开和广域网的连接。
在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。
3.Melissa(1999) 和 LoveLetter(2000)
在1999年3月爆发的Melissa 病毒和2000年5月爆发的LoveLetter 病毒因为它们能够迅速蔓延,并造成极大的危害也荣登了这次评选的五大宝座之一。Melissa是MicrosoftWord宏病毒,LoveLetter则是VBScript病毒,二者除了都是利用Outlook电子邮件附件进行传播外,另外恶意代码也都是利用Microsoft公司开发的Script语言缺陷进行攻击,因此二者非常相似。
用户一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制恶意代码并向地址簿中的所有邮件地址发送带有病毒的邮件。很快,由于Outlook用户数目众多,其病毒又可以很容易地被复制,很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中断了服务。一些公司在发现遭到攻击或可能遭到后立即将自己内部网络与因特网断开,在内部网将遭到蠕虫感染的机器清除或隔离,等病毒风暴过后才连接到internet上,因此才免受其危害。当时的各大防病毒厂商在病毒爆发后不久立即向他们的客户分发病毒签名文件,但是由于用户太多却要在同一时间下载和更新病毒库,使得要想及时更新签名文件变得非常困难,这无疑更加助长了病毒的肆虐。也正是因为这个原因使得Melissa和LoveLetter病毒所产生的危害仅次于红色代码和尼姆达。
Melissa 和 LoveLetter 的爆发可以说是信息安全的唤醒电话,它引起了当时人们对信息安全现状的深思,并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用:
Melissa 和 LoveLetter 刺激了企业和公司对网络安全的投资,尤其是对防病毒方面的投入;
许多公司对网络蠕虫病毒的紧急响应表现出来的无能刺激了专业的网络安全紧急响应小组的空前壮大。
4.分布式拒绝服务攻击(2000)
在新千年的到来之季,信息安全领域的人们都以为可以集体地长长地嘘一口气了,因为他们以为由于存在千年虫的问题,在信息网络安全领域中应该暂时还不会出现什么涟波。然后, 一月之后却来了一场谁也意想不到的大洪水:在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃后, 紧接着Amazon.com, CNN, E*Trade, ZDNet, Buy.com, Excite 和 eBay 等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又一次敲项了因特网的警钟。在这以前人们其实已经接触过来自数以百计的机器的flood攻击,但是像攻击雅虎这样如此大规模的攻击却从未目击过甚至想像过。
DDoS 的闪击般攻击使人们认识到英特网远比他们想象得更加脆弱,分布式地拒绝服务攻击产生的影响也远比他们原来想象中的要大得多。利用因特网上大量的机器进行DDoS ,分布式扫描和分布式口令破解等,一个攻击者能够达到许多意想不到的强大效果。
从雅虎遭到强大的DDoS攻击中人们又获得了什么启示呢?
要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web服务器收到的数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来并将其丢弃。
网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止数据包的flood攻击。如果失去ISP的支持,即使你的防火墙功能再强大,你网络出口的带宽仍旧可能被全部站用。唯一有效的也是最快速地方法就是和ISP联手一起来通过丢包等方法阻挡这一庞大的flood攻击。
不幸地,DDoS攻击即使在目前也仍旧是互联网面临的主要威胁,当然这主要是因为ISP在配合阻断DDoS攻击上速度太慢引起的,无疑使事件紧急响应的效果大打折扣。
5.远程控制特洛伊木马后门(1998-2000)
在1998年7月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。BO以多功能、代码简洁而著称,并且由于BO操作简单,只要简单地点击鼠标即可,即使最不熟练的黑客也可以成功地引诱用户安装Back Orifice 。只要用户一安装了Back Orifice,黑客几乎就可以为所欲为了,像非法访问敏感信息,修改和删除数据,甚至改变系统配置。
如果仅仅从功能上讲,Back Orifice完全可以和市场上最流行的商业远程控制软件,像赛门铁克的pcanywhere,CA的ControlIT, 和免费软件VNC等相媲美。因此,许多人干脆拿它来当作远程控制软件来进行合法的网络管理。
由于其简单易用和大肆地宣传,BO迅速被众多的初级黑客用来攻击系统。BO的成功后来也迅速地带动和产生了许多类似的远程控制工具,像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。这些攻击工具和方法甚至一直保留到现在,作为黑客继续开发新的和更加强大的特洛伊木马后门,以避开检测,绕过个人防火墙和伪装自己的设计思想基础。
Back Orifice 和其它类似的木马后门工具使人们从根本上认识到了对用户进行一定的安全方面的培训,使他们不要随意运行不信任软件和广泛地配置防病毒软件的重要性。
当然以上列举的五点可能带有一定的偏见,例如也有很多用户另外还选择了下面的三种:
在2002年8月公布的在IE浏览器中签发CA证书时存在的安全漏洞;
在2002年2月发现的多个SNMP漏洞;
在2001年1月伪装成微软职员进行代码签名的漏洞。
虽然这些恶意的全球性的攻击给人们带来了数十亿美元的经济损失,但也在一定程度上给信息安全技术的发展在无形中起到了巨大的刺激和促进作用。从这些具体的攻击和排除,防范措施中,人们使网络信息安全策略得到了不断地完善和加强, 为迎接新的信息安全挑战奠定了基础。
二、未来的五种攻击手段
是的,以上的五种恶意攻击均给人们造成了巨大的经济损失,但人们也从中学到了很多的东西。大部分的企业或组织至少也都在信息安全方面采取了一定的基本防御措施,用户的安全意识也得到了加强,一些独创性的安全技术为应对未来更加强大的攻击提供了支持。但是仅仅这些就足够了吗?这是不可能的。
至少仅仅靠安全意识上的加强是远远不够的,而且很少有人将历史教训放在心上。红色代码的爆发就充分地说明人们常常即使已经知道存在某种安全威胁,但却事不关己,高高挂起,自己还没有遭到攻击就赖得补救。而企业有限的安全预算也制约着信息安全领域的发展。另外,一些人还会出于某种目的花费大量的时间去研究新的攻击方法和手段,尽管如此,我们还是可以尝试着去预测隐伏着的可能的这些攻击。
笔者时常被问," 什么样的潜在性网络攻击会使你在半夜醒来?" 笔者想可能下面的这些就足以使我半夜惊醒:
1.超级蠕虫
无论是手段的高明性,还是破坏的危害性,计算机网络受到蠕虫的威胁都在激增。在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面临的最大威胁之一,有超过36%的人认为超级蠕虫的威胁应该摆在第一位。
超级蠕虫,它一般被认为是混合蠕虫。它通常能自我繁殖,并且繁殖速度会变得更快,传播的范围会变得更广。更可怕的是它的一次攻击就能针对多个漏洞。例如,超级蠕虫潜入系统后,不是仅仅攻击某个漏洞,而是会尝试某个已知漏洞,然后尝试一个又一个漏洞。
超级蠕虫的一枚弹头针对多个漏洞发动攻击,所以总有一个会有效果。如果它发现你未打补丁的地方,那你就在劫难逃了。而事实上没有哪家公司的系统完全打上了所有的补丁。
很多安全专家逐渐看到的通过IM(即时消息)进行传播的蠕虫就可以说是一种超级蠕虫。黑客将一个链接发给IM用户后,如果用户点击链接,蠕虫就会传播给该用户的IM地址簿上的所有人。有了IM,用户将随时处于连接状态,所以也随时会受到攻击。(建议用户参考安络科技的专题文章: 八月震撼:点对点(p2p)通信对信息安全构成严重威胁和前段段时间出现过的 “MSN Messenger”病毒)。
为对付未来的超级蠕虫我们所能做的将是:
对外部可访问系统进行安全加固, 像Web服务器,邮件服务器和DNS服务器等,尽量将它们所需要开放的服务减少到最小。
给系统及时打上补丁、及时更新防病毒软件,对员工进行安全宣传和教育。
使用基于主机的入侵检测系统和预防工具, 例如Symantec的 Intruder Alert 3.6 可以阻断或迅速发现蠕虫的攻击。
2. 隐秘攻击(Stealthier Attacks)
现在越来越多的黑客把攻击后成功地逃匿IDS的检测看作是一种艺术,有许多新工具将能使他们在攻击用户的系统后,不会留下任何蛛丝马迹,有多种高级黑客技术将能使之成为可能,而这些技术已经被广泛地为专业黑客和一些高级的脚本菜鸟(Scripts Kids)所采用:
多变代码
这些恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-based detection ,也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
Antiforensics
攻击者可操作文件系统的特性和反侦测伎俩进行攻击来逃避IDS的检测。
例如通过利用像Burneye这样一个工具,可以掩盖黑客对系统的攻击企图,使用Defiler的工具Toolkit可以覆盖黑客对目标文件系统所做的修改留下的蛛丝马迹。
隐蔽通道
为了和后门或者恶意软件进行通讯,攻击者必须建立一条非常隐蔽的通信通道。为此,攻击者常常将通讯端口建立在一些非常常用的通信协议端口上,像HTTPS或者SSH。
内核级后门(Kernel-level root kits)
通过从系统内核控制一个系统,攻击者获得对目标系统的完全控制权限,而对受害者来说却一切都似乎风平浪静。
嗅探式后门(Sniffing backdoors)
通过将后门和用户使用的嗅探器捆绑在一起,攻击者能够巧妙地绕过用户使用的传统的通过查看正在监听的端口来发现后门的检测方法,使受害者被种了后门却还一直蒙在鼓里。
反射式/跳跃式攻击
与其直接像目标系统发送数据,很多攻击者觉得还不如利用TCP/IP欺骗技术去以误导正常的检测,隐蔽攻击者的真实地址。象反射式D.o.S攻击就是例证。有关反射式D.o.S攻击的详细信息,请参见安络科技七月巨献:网络攻击机制和技术发展综述。
针对以上这些诡秘的攻击,作为用户又该如何防范和阻止呢?
如果你的系统遭到这种攻击,你需要能够迅速地检测出来,而且要知道攻击者具体在你的系统上干了写什么。为了能够察觉出这种入侵,需要同时使用基于网络和基于主机上的入侵检测系统和防病毒产品,并仔细检查你的系统日志。一般用户可能不具备这种专业能力,可以寻找一家高专业水准的信息安全签约服务商,为您提供高水平的反入侵服务。
一旦你发现自己的系统有什么异常,你必须确保你的事件紧急响应小组在取证分析上有丰富的经验,能够熟练使用像@stake的免费TASK工具或者Guidance Software的商业软件EnCase,因为这两个工具都能非常仔细对系统进行分析,并且非常精确地隔离攻击者的真实破坏活动。重点部门的事件响应小组可以和专业安全服务商共建,明确分工,及时处理。
3. 利用程序自动更新存在的缺陷
主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁,这些自动更新工具可以减少配置安全补丁所耽误的时间。
但是程序允许自动更新的这个特征却好比一把双刃剑,有有利的一面,也有不利的一面。攻击者能够通过威胁厂商Web站点的安全性,迫使用户请求被重定向到攻击者自己构建的机器上。然后,当用户尝试连接到厂商站点下载更新程序时,真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。
在过去的六个月中,Apple 和 WinAmp 的Web站点自动更新功能都被黑客成功利用过,所幸的是发现及时(没有被报道)。Apple 和 WinAmp 后来虽然修复了网站的缓冲溢出缺陷,并使用了代码签名(Code Signing)技术,但基于以上问题的攻击流一直没有被彻底清除。
为了预防这种潜在的攻击威胁,需要严格控制和管理安装在你的内部网机器上的软件,禁止公司职员随意地安装任何与工作无关的应用软件。在这里,你可以使用软件管理工具来强迫执行,像 Microsoft 的 SMS,LANDesk SOFTware 的 LANDesk。这两个工具只要二者择其一,你就可以配置你的内部升级服务器,如通过在工具中对微软软件升级服务器相关选项进行配置,你可以具体选择哪个修复程序和补丁允许被安装。为保护你的网络,可使用sniffer测试所有的补丁,如发现网络流量不正常或发现开放了陌生的端口则需引起警觉。
4. 针对路由或DNS的攻击
Internet主要由两大基本架构组成:路由器构成Internet的主干,DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议(BGP),或者更改网络中的DNS服务器,将能使Internet陷入一片混乱。
攻击者通常会从头到脚,非常仔细地检查一些主流路由器和DNS服务器的服务程序代码,寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂,目前已经发现并已修复了许多重要的安全问题,但是仍旧可能存在许多更严重的问题,并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题,在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞,并对其进行大举攻击的话,大部分因特网将会迅速瘫痪。
为了防止遭到这种攻击,确保你的系统不会被作为攻击他人的跳板,应采取如下措施:
对公共路由器和外部DNS服务器进行安全加固。如果公司的DNS服务器是为安全敏感的机器提供服务,则应为DNS服务器配置防火墙和身份验证服务器。
确保DNS服务器安装了最新补丁,对DNS服务器严格监控。
如果你认为是由ISP的安全缺陷造成的威胁,确保你的事件紧急响应小组能够迅速和你的ISP取得联系,共同对付这种大规模的网络攻击。
5. 同时发生计算机网络攻击和恐怖袭击
这可以说是一场双重噩梦:一场大规模的网络攻击使数百万的系统不能正常使用,紧接着,恐怖分子袭击了一个或者更多城市,例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。在9/11恐怖袭击事件后,美国东部的几个海岸城市,电话通信被中断,惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。由于这次袭击,人们发现 Internet 是一种极好的传媒(还有电视传媒)。但是我们不妨假设一下,如果此时爆发超级蠕虫,BGP和DNS被遭到大举攻击,那么在我们最需要它的时候它也将离我们而去,可以想象将是一种什么样的糟糕场面。但是这又并不是不可能发生的。
我们要居安思危,为这种灾难的可能发生作好应急准备是相当困难的:
作好计算机的备份工作;
除给紧急响应小组配备无线电话外,还需配备全双工传呼设备;
要确保你的计算机紧急响应小组有应付恐怖袭击的能力;
要假想可能出现的恐怖袭击场面以进行适当的演习,以确保真正同时发生网络攻击和恐怖袭击时,他们能够迅速、完全地进入角色。
也许有人会认为我们这样做可能都是杞人忧天,但是,笔者有理由相信这样的事情在未来的5年中是完全有可能发生的,只不过所使用的攻击技术可能是我们在上面所列举出来的,可能是我们所没有预计到的。
12/15/2004
|