病毒发展历史回顾——新兴安全威胁七大特征

tp寶寶^ō^

作者：宋红伟  
历史悠久的自我防御技术 　
    早自过去的档案型、开机型或宏型病毒，即开始采用加密、压缩、自我编码、变体引擎（McTation Engine或Polymorphic Engine）、更名感染等技术，藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术，仍为目前流行的恶性程序所沿用。 　
    除此之外，一些恶性程序还具备自我检查及反防毒软件（Anti-Antivirus）的能力，他们会在计算机被启动的同时，卸载系统中的防毒软件或防火墙软件。 　
    不过，目前恶性程序的发展趋势似乎有了转变，虽然过去的自我防御功能仍继续沿用，但已非关注的重点。 　
    反之，这些恶意程序不再在乎是否能被防毒软件或其它安全配备侦测阻挡，因为再怎么防，不用多久，资安厂商仍很快就有因应措施及解决方案的推出。所以他们追求的重点已转变成「快、狠、准」，也就是尽可能地在最短的时间内，以迅雷不及掩耳、秋风扫落叶的方式，造成一定的影响或达到一定的目的。也因为如此，许多恶意程序甚至设定自我毁灭时间。
    ■令人眼花撩乱的庞大变种 　
    变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒（Polymorphic/Mutation Virus），该病毒具备自我编码的能力，每感染一个档案，其病毒码都不一样。基本上，千面人应归类成多形病毒的一种。 　
    虽然千面人病毒具备变幻莫测的外表，但它仍有破绽，就是每个变换后的病毒码，其程序开头都相同，所以仍然有迹可循。为了解决这个问题，网上遂有了.OBJ的变体引擎子程序供人下载撰写多形病毒。总之，由于变体引擎及病毒原始码的公开，所以各式各样的变种因而斥充在网络上。 　
    如今的恶性程序除了展开全球性传播的"水平繁衍"外，并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是，这些恶性程序还结合不同的混合式攻击技术，让每代的变种各具不同"邪恶"特性及破坏力，或是每隔一代海纳百川地加入新的"毒术"。 　
    过去病毒多半接续个两三代就"over"了，如今恶意程序传宗接代的能力一个比一个强，动辄几十代，甚至打破30代大关，例如培果病毒（Bagle）到目前为止共有37代变种，实在惊人。 　
    若以平均天数来看，早先的顽皮熊病毒，从2002年10月第一代出现起，到2004年9月第四代止，大约平均每176天才推出新的变种。如今像是Bagle、MyDoom、NetSky及Korgo等蠕虫，平均不到10天就推出新的变种。其中，最可怕的莫过于Korgo蠕虫，在短短三个月多内，就接连繁衍出高达27代的变种，换句话说，其不到3天就变种一次。 　
    感觉起来，这些恶意程序彷佛在比谁的生育率比较强似的，事实上Bagle、Netsky和MyDoom的确一直在互别苗头，不但相互争夺变种的数目高低，甚至相互攻击（例如Bagle变种专砍Netsky，而Netsky也专门找MyDoom下手）。
    ■乱"件"齐发的垃圾邮件 　
    对于恶意程序而言，电子邮件彷佛就是其增加其功力的大补丸。为了达到最终感染及传播的目的，黑客多半会采用社交工程学（Social Engineering）来引诱收信者打开附件或连结，进而启动或下载攻击程序。此外，过去也有不少病毒邮件，进而发展出不用开启邮件及附件，只要浏览就会中毒的技术。 　
    在信件传播方面，由于采用微软讯息应用程序接口（MAPI）来发病毒邮件，很容易会被防毒软件拦截到，所以黑客多半都会改用专属的SMTP外寄邮件服务器，绕过防毒软件的拦截网来发送病毒信。 　
    自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后，许多恶意程序，尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具，垃圾邮件的问题也开始被广泛注意。 　
    史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F，该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件，因而登上史上传播最迅速的宝座，莫怪乎有人称其为史上最强力的超级邮件发送机（Mass Mailer）。
    ■难以抗拒的诱惑－社交工程 　
    社交工程（Social Engineering）原本是一种源自于飞客（Phreak）的诈骗手法，对于该手法读者应该不致于太陌生，因为之前没多久，相信很多人应该曾接到一些诈骗电话，像是谎称自己是警察人员，并告知接听者的银行账号被盗领，或是"你儿子现在在我手上，快拿两百万过来"等云云，这些就是运用社交工程的显例。 　
    基本上，社交工程是利用人性弱点，并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。对于大部分的企业而言，技术面的问题好解决，但是牵涉到人性面的问题就相当棘手难防了，也因为如此，社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。 　
    尤其对个人而言，面对每日眼花瞭乱的邮件实在很难防，而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡，偏偏这些东西是黑客运用社交工程的最佳试炼场。 　
    ■有洞就钻 　
    在过去，软件上的臭虫（Bug）顶多会造成软件或系统稳定性或兼容性上的问题，但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示，如今许多软件及平台都存在许多漏洞，而后一版本的软件大多仍会继续沿用之前版本的组件，所以漏洞有可能也会流传到不同版本之中。如此一来，便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。 　
    根据Gartner Group今年4月的分析报告指出，2003年有25％的网络攻击事件来自于已知漏洞。面对漏洞问题，唯一最直接的解决方法就是下载厂商提供的修补程序（Patches）。对于企业而言，由于软件系统种类繁多、数量庞大，所以必须搭配漏洞及弱点管理工具，以进行固定的扫描、侦测及修补作业。 　
    但前文曾提到Symantec的研究报告，目前漏洞发布与相关蠕虫攻击的平均时间差只有短短的5.8天，而Witty蠕虫甚至缔造了2天的惊人纪录，未来随着蠕虫技术的不断突破，平均时间差只会愈来愈短。今后，要与黑客一比抢攻漏洞之高下，绝对是今后企业及资安厂商努力的重点之一。 　
    对于个人而言，修补漏洞一直是件不得不做，但又极其困扰的事情。最主要是因为操作系统会随着软件、游戏或硬件的安装、解除，档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步，换句话说，为求系统稳定，操作系统每隔一段时间是要重灌的。也因为如此，重灌计算机也意味着要重灌之前所有安装过的修补程序。 　
    如果使用者是透过在线修补，那么在冗长的修补过程中难保不会被蠕虫入侵或被种下后门。如果透过已下载的修补档来修补，虽然较安全，但数量庞大的修补作业可是相当累人的事情。 　
    虽然操作系统中也有提供系统还原的功能，只要选择较后面的还原点，可以减少修补作业的次数。但使用者要如何确认哪一个还原点才是完全安全干净的呢？总而言之，对个人来说，修补漏洞绝对是件既困扰又无奈的事情。 　
    另外要补充强调的是，使用者千万不要因为麻烦或抱着侥幸心态，认为之前旧漏洞不补也没关系，而只要修补最新漏洞即可。事实上，旧漏洞才是黑客最爱，根据Gartner Group今年4月的分析报告指出，2003年有25％的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞，都是非补不可的。 　
    ■就是要你消受不起－DDoS 　
    阻断式服务攻击（Denial-of-Service；DoS）已成为目前黑客及蠕虫的主要攻击方式之一。透过DoS攻击，网站会被大量而密集的封包所淹没，结果导致网站用户无法正常进入网站，享受应有的内容或服务。 　
    如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击（Distributed DoS；DDoS）手法，形成对企业、网站更长时间的"封锁"及更大的损失。 　
    所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式，以整合更多的攻击来源，以对主要目标展开更猛烈持久的服务封锁。如此的好处是，可以结合更大的攻击能量，同时真正发号司令的黑客不容易被抓到。BOT遥控程序就是透过网络扫描、感染更多的殭尸计算机，形成庞大的殭尸网络大军，然后针对主要目标展开猛烈的DDoS攻击。 　
    史上著名的DDoS攻击事件，像是2001年的红色密码（Code Red），即为一只曾对微软IIS Server展开DDoS的蠕虫；2003年疾风蠕虫（MSBlast.A）则透过RPC DCOM缓冲区溢位的弱点，攻击微软Windows Update 网站；2004年1月底，Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击，而造成相当大的损失。 　
    ■陆海空联合大进击－混合式攻击 　
    自从2001年Code Red率先采用混合式攻击技术以来，混合式攻击已成为目前恶意程序发展中的最大特色及惯用手法。透过不同攻击技术的结合，恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯种"的恶意程序已经愈来愈少，即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。 　
    就各恶意程序的特性而言，病毒具备其它恶意程序所没有的感染力，蠕虫则提供无人能敌的主动散播能力，至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性，以及网络漏洞、系统弱点扫描的新一代恶意程序技术。 　
    一只混合式攻击程序可能会透过不同的媒介及管道，来进行陆海空联合多点大进击，换句话说，它可能一方面透过垃圾邮件传播，一方面在网上扫描并寄生在有弱点的主机上，一方面在网络上"装可爱"成可供人们下载的MP3、游戏或软件，或是搜寻感染网络芳邻上的分享目录夹，抑或提高来宾账户的权限等级等。由于攻击来自于四方八面不同的管道，所以单靠传统单一的防毒软件是无法有效因应的，目前厂商则主张多层次的主动防御方案以为因应。 　
    对于混合式攻击，目前间谍程序会结合许多技术，其中尤以两点发展趋势最值得关注： 　
    (1)间谍软件与垃圾邮件的结合：同时借此将BOT远程遥控程序种殖在别人的计算机中，并以此为侵入其它计算机或网络的跳板。 　
    (2)会窃取计算机所有的画面：过去仅会侧录键盘的击键，如今不但会偷取档案数据，甚至还会启动Web Camera并窃取画面。


表一 恶意程序新变种平均天数


恶意程序名称变种代数起止日期历时平均天数
Bagle37代04/01/19—04/11/17301天8.1天
Mydoom30代04/01/27—04/11/15291天9.7天
NetSky30代04/02/19—04/10/28251天8.4天
Lovegate29代04/02/25—04/08/27548天18.9天
Korgo 27代04/05/22—04/08/04 74天2.7天
Sober7代03/10/27—04/11/22387天55.3天
Gaobot7代03/28/22—04/12/10475天67.9天
Sasser7代04/05/03—04/08/26115天16.4天
Sobig6代03/01/13—03/08/20219天36.5天
Blast6代03/08/11—04/04/21253天42.2天
Bagz5代04/10/07—04/10/2821天4.2天
Bugbear4代02/10/27—04/09/06705天176.3天



图1 DDoS攻击示意图