安全知識 認識瞬時攻擊的危險性及特征

瞬時攻擊，也就是我們常看到的“零時差攻擊”、“零時攻擊”、“0-day”、“Zero-Day”。主要就是指，黑客利用剛剛發現的系統漏洞尚未被修補上的時機發起的攻擊。

無論你如何勤勉地修補系統和保護你的電腦，它仍然有可能在未曾預見到的攻擊出現後的數個小時內中招。這篇文章將為您講述零時差攻擊的危險性以及它是如何利用安全漏洞的。

在電腦安全方面你並不曾懈怠。你隨時更新應用程序，確保它們都是最新的版本，你也安裝了反病毒軟件。你很在意你浏覽的是什麼樣的網站，在電腦上安裝的是什麼樣的軟件。

但是去年九月，如果你訪問過由HostGator(位於佛羅裡達州的一家頂級主機托管商)托管的博客站點，你的浏覽器就會立即被重定向到一個受病毒感染的網站，這利用的是一種古老的微軟圖形格式中存在的漏洞。

在幾秒鐘內，惡意軟件就侵入了你的電腦

遭遇到這一切，是因為你已經淪為零時差攻擊的受害者——這種攻擊往往針對某種軟件的漏洞，當漏洞剛被發現不久，還沒有任何補丁文件被發布並對已知問題進行修復時發起的攻擊就叫做零時差攻擊。這個術語最初用來描述那些 “非正式”(也就是在研究實驗室外)發現的漏洞在補丁發布的當天就被利用來發起的惡意攻擊，這使得IT專家們沒有時間來堵上這個漏洞。

現在，零時差攻擊對於網上罪犯們的價值正在飛漲中，因為這種攻擊可以侵入最新的、保護得當的系統。例如，去年十月，趨勢科技的首席技術官Raimund Genes在一個網絡聊天室裡注意到一條滾動出現的廣告。一個黑客想出售測試版的Windows Vista裡一個不為人知的漏洞，要價是令人瞠目的5萬美元，雖然Genes無從得知是否有人購買了那些代碼。

“現在有了不少有組織的地下機構，”McAfee公司的安全研究經理Dave Marcus說道，“網上罪犯們已經領會到他們能夠靠惡意軟件來發財了。”

有利可圖的惡意軟件

惡意軟件可以是個“機器人程序”。例如，它能夠讓你的電腦傳播垃圾郵件，或者加入到拒絕服務式攻擊，把某個網站弄得崩潰而不能提供正常服務。“這比把一位老太太打倒在地，並搶走她的錢包要容易多了，”Marcus說，“這也是非常隱匿的，而且攻擊者可以舒服地坐在星巴克裡發動這一切，卻不會被絲毫察覺。”

多虧改進後病毒掃描技術不再完全依賴病毒定義文件，McAfee出品的反病毒軟件和其它安全軟件在保護計算機免受未知威脅的攻擊時變得更加出色了。此外許多新出現的免費與收費軟件都提供了針對零時差攻擊的主動性保護，並盡可能地限制攻擊帶來的損失與破壞。

Jeff Moss，每年一度的BlackHat安全大會的發起者，認為正確的安全設置能最大限度地保護你的電腦。但有目的的攻擊有時能夠突破重重防線。“你可以買一大堆防火牆、安全軟件和其它東西，”他說，“但只要某個軟件裡存在著可以為零時差攻擊利用的漏洞，那麼再多的防護也是無濟於事的。”

在補丁發布之前就發起攻擊的各種程序裡，最危險的是會偷偷地在後台下載惡意軟件的那些。你只是很平常地浏覽了某個被植入惡意代碼的頁面，或者是打開了一封受感染的HTML格式電子郵件，就會遭到入侵，你的電腦裡會悄無聲息地被塞入各種間諜軟件，木馬程序或者其它惡意軟件。在2005年底到2006年底之間，網絡罪犯們利用一種不常被人們使用的微軟圖片格式中的漏洞，發動了至少兩起這樣的零時差攻擊，並感染了數百萬台電腦。

在HostGator遭到入侵的案例中，被黑客所利用的是IE浏覽器在處理矢量標記語言(VML)格式的圖片時出現的漏洞，這個漏洞一直沒有引起注意。VML是一種不常見的、用來創建3D圖像的標准格式。

在九月份，Sunbelt Software公司發現了這種類型的攻擊並向人們發出警告，它在俄羅斯的一家色情圖片站點上發現了這個漏洞。漏洞本身就足夠危險：如果你浏覽過任何含有中毒圖片的網站，你的電腦就會被植入惡意程序。而攻擊者們清楚地知道如何讓危害擴散得更大更廣。

利用網站管理工具cPanel裡的一種未知漏洞，攻擊者們劫持了由HostGator托管的成千上萬個網站。訪問者浏覽過這些完全合法卻中了毒的網站後，會被重定向到一些惡意網站，這些網站會利用VML漏洞發起零時差攻擊。

微軟的產品，如IE浏覽器、Office辦公套件和Windows操作系統，是最常受到零時差攻擊(和其它類型的攻擊)的目標。部分原因是它們占據了大部分的軟件領域。但是微軟過去犯下的沒能在產品開發時對安全性進行充分考慮的錯誤，也導致了它的軟件產品成為普遍的(也是容易攻入的)攻擊目標。然而，Vista在安全方面有了長足的進步，至少在現在看來是這樣。

僅在2006年，就有四種直接或者間接針對IE 6浏覽器的零時差攻擊。首先出現的針對IE 6的持續不斷的攻擊利用了在2005年底發現的漏洞。這種漏洞存在於Windows圖元文件格式(WMF)，當IE呈現WMF圖片時就有可能受到攻擊。

在針對WMF漏洞的攻擊事件層出不窮並廣為人知後，微軟首先宣布隨著正常的補丁發布周期，它將在數周後發布一個補丁來修復此漏洞 —— 但是由於攻擊事件的不斷出現和公眾的反對聲不斷上漲，它最終不得不在一月初發布一個計劃外的修復補丁。

然而補丁並沒有讓攻擊停止，這表示出零時差攻擊也可以有著很長的時間效應。與VML文件漏洞一樣，WMF漏洞也會導致電腦被暗中植入惡意程序，這是網上罪犯們最喜歡的攻擊方式之一，受害者無需點擊受感染的圖片就會中招。如果你通過Windows的自動升級功能打上了微軟發布的補丁，那麼你會沒事。但是很明顯，許多Windows用戶並沒有這樣做。

去年七月份，通過一家為上千個網站服務的廣告發行網絡公司，一幅藏匿著有害代碼、為Deckoutyourdeck.com網站做宣傳的廣告出現在MySpace和Webshots這樣的知名網站裡。藏匿在旗幟廣告裡的惡意程序會把木馬下載到訪問者的電腦裡，它會帶來廣告軟件和間諜軟件。消息人士稱——到補丁在七個月後終於發布時為止——一共有上百萬人的電腦遭到入侵。

與針對IE浏覽器發起的具有高危險性的零時差攻擊不同，專門針對Word與其它Office軟件的攻擊不能通過下載來發起攻擊。而主要依靠誘使受攻擊者雙擊打開電子郵件附件——這通常用於有目的地攻擊某家特定的公司，即使是再小心的用戶也有可能不經意就雙擊打開了附件。

向目標企業的雇員發送假的(或者“欺騙性的”)郵件，把郵件偽裝得看上去像是來自某個同事或者是該企業內的其它來源，黑客就有很大機會成功誘使收件人打開附件裡的Word文檔。而如果郵件看上去像是來自於某個不知詳情的發件人，機會則小得多。

12月中旬，在公布Excel和PowerPoint等Office軟件含有可能被黑客利用發起攻擊的漏洞後，微軟再次確認Word裡有兩個漏洞也可能被黑客利用，並發起“危害非常有限並且目的明確的攻擊”。它向用戶發出警告不僅僅要警惕陌生發件人郵件裡附件，同時也要對來自熟悉發件人的、未經請求主動提供的附件保持足夠的警覺。

微軟的產品或許是最普遍的零時差攻擊目標了，不過其它的常用軟件也同樣面臨著受到攻擊的危險。一月份研究人員公布了QuickTime播放程序裡的一個漏洞， QuickTime在處理流媒體視頻文件時可能讓攻擊者入侵並控制受害者的電腦。2006年11月份Adobe ActiveX浏覽器控件的一個漏洞也會導致受害者電腦被黑客控制。

零時差攻擊事件的湧現折射出每年公布的軟件漏洞數目在不斷地上升。據互聯網安全機構Xforce所述，2006年軟件開發者與研究人員發現了7247個軟件漏洞，比起2005年多了整整39%。

但是，這些bug中的大多數不會被黑客利用並發起零時差攻擊。軟件公司經常收到用戶反映的bug和程序崩潰的報告，並從中找到安全漏洞，然後在黑客利用這些漏洞發起攻擊前就進行修復。如果其它安全專家發現了一個漏洞，他們(總之，大多數會是這樣)會按照一套行業慣例——被稱作“有道德地透露”——來處理，這套慣例是特別設計用來規避零時差攻擊的。

在“有道德地透露”原則下，研究人員首先會與軟件開發商聯系並告知所發現的漏洞情況。開發商在補丁就緒前不會發布相關公告。最先發現漏洞且沒有將其公布於眾的研究人員會受到公司的信任。

但有時候研究人員對於軟件開發商調查的進度過慢而感到不滿，就會在漏洞被解決之前將問題告知給大眾。部分安全專家認為這種策略雖然有些不妥但能促使頑固的開發商立即發布修補程序，有些專家則譴責這種行為，認為這麼做違背了行業慣例。

擁護這種行為的人們爭辯說如果研究人員發現了漏洞，那麼黑客們有可能也發現了。聰明的黑客會小范圍、有目標地發起攻擊，以避免引起生產商的注意而發布修補程序。不幸的是，大多數情況下，公布漏洞都會促成大規模的零時差攻擊。

另一個倍受爭議的行業慣例是“懸賞緝錯”。有些組織，包括iDefense和3Com零時差攻擊項目(ZDI)，都會為向它們報告零時差攻擊漏洞的研究人員支付一定的賞金。 比如iDefense就提供了8000美元的資金，懸賞能提供IE 7浏覽器和Vista系統漏洞的人。然後這些安全公司會向軟件開發公司坦誠相告所知的信息。盡管得到大眾的欽佩，但提供這些漏洞信息並沒能使研究人員賺到多少錢——大部分人都希望能從中撈上一筆，但得到的結果通常是軟件開發商的幾句感謝之辭。

或許更重要的是，安全公司的賞金與地下黑市正在為零時差攻擊而開展著競爭。趨勢科技的Genes注意到的那位在聊天室裡販賣Vista漏洞的家伙現在有可能已經找到，或者還沒有找到一位願意支付5萬美元的買家，但據eWeek.com網的報告與安全公司所說，在相關的bug信息以可觀的4000美元賣出後不久，針對Windows圖元文件的攻擊就立即猖獗起來。

要找到能賣得出去的漏洞，研究人員與黑客會使用一種叫做fuzzer的工具軟件來找出軟件在何處接受信息輸入，然後它會系統地輸入一些奇怪信息的組合。通常這種測試找出來的漏洞叫做緩沖區溢出。

包括微軟在內的軟件公司通常使用