多年來,安全專家認為,越來越多的惡意程序、蠕蟲病毒、木馬等都會使用加密技術來增強自身的隱蔽性,並避免被反間諜或者惡意軟件清除工具查殺並清除。例如,不懷好意的程序員使用高強度的加密算法編制出能夠將商業機密或危害國家安全的信息截獲並加密,有些類似采用DDoS分布式拒絕服務攻擊的方式對網站進行敲詐、勒索以謀取非法利益。 新一代的惡意代碼技術已成熟,被稱為密碼病毒(Cryptoviruses)。究竟出現了多少這樣的惡意代碼我們無法得知,不過這種可怕的技術會幫助幕後黑手輕松竊取自己所需要的賬號、密碼、數據並按照指令進行加密。最近美國Duke大學的數據庫系統被入侵,入侵者就采用了類似的技術獲取數據庫中的賬號信息以及對數據進行加密等操作。 事實上,這些惡意程序的愛好者們在使用加密技術隱藏其程序真實目的的同時,安全專家的研究報告以及對蠕蟲病毒的分析就已經證明了加密技術完全可以被做為武器。 哥倫比亞大學的一個研究小組研究並構建出了數種使用加密技術進行攻擊的模型,其模型如下: 1.暗渡陳倉 這是最簡單的密碼病毒偷密碼手法,結合公鑰系統與竊取密碼類木馬的一種類型。入侵者的木馬偷取到系統密碼後(如鍵盤記錄、網絡嗅探、密碼破解等),木馬使用入侵者的公鑰將密碼加密,此時只有入侵者的私鑰才能解密。然後木馬將會在每一個存儲設備中(如移動硬盤、網絡共享等)寫入這個內含賬號密碼資料的加密文件,或通過電子郵件、IM或郵件列表等傳播至指定位置。由於加密文件位置廣泛,因此會給安全專家進行追查制造麻煩。 2.瞞天過海 此類型的手法查找受害者電腦的數據庫、服務器裡的某些重要資料,並且不讓別人知道他究竟在找些什麼或被偷了什麼。傳統的手法因為會留下查找的關鍵字歷史記錄或是將偷取到的資料用明文存儲,5自學網,從而很容易被管理員追查出究竟入侵者在偷什麼,想查什麼。而使用加密技巧則可以隱藏這些惡意行動,使得管理員難以掌握蛛絲馬跡。接著,惡意程序再將這些偷取到的資料進行加密,就算是企業獲得到這些惡意程序也無法得知究竟被偷了什麼。而同樣,5自學網,也僅有入侵者的私鑰可以進行解密。 3.將計就計 這種手法可用在入侵者的攻擊被發現之後。當惡意程序將重要資料加密後傳出網絡時,就算被管理員監控到此行為,也誤以為入侵者是一無所獲,當惡意程序將資料加密後傳出,此時會傳到多個主機或服務器上去;入侵者甚至可以匿名地提供假的私鑰(實際上對解密沒幫助),誘使管理員使用這把假的私鑰嘗試去解密,發現解出假的明文,誤以為入侵者並沒有偷到資料或只是裝模作樣,但是這就是這類手法的意圖,實際上使用正確的私鑰,入侵者仍然可以正確解讀資料。 這些手法仍還有許多演變的可能,部分是以敲詐企業為目的,部分以竊取重要資料為目的,少數會破壞受害者主機的完整性。 雖然這些手法看起來可行,但是卻不是那麼簡單,要在惡意程序裡使用公鑰加密技術或其他密碼技巧,攻擊者必須具備很完整的加解密技術知識,而且必須撰寫優質的加解密代碼。但是我們得考慮到,由於網絡上有許多開源的加解密算法可供研究,上述這些加密技巧及手法,在不久的將來仍然有可能被應用在新的惡意程序中。 至於采用“密碼病毒學”理論的攻擊手法何時才能夠流行開來,這個很難預測。但是當去年的DDoS勒索事件已經將攻擊方式、攻擊目的乃至勒索成功率提升到一個更高程度的時候,我們不得不相信入侵者一定正在尋找更為秘密、更為有效、更具有破壞性的新勒索手段。很顯然,密碼病毒將會是最新也是最可怕的武器。 鏈 接 密碼病毒學 密碼病毒技術的原理很簡單:首先入侵者會先生成一對公鑰/私鑰組,以作為獲取並控制目標重要資料的密鑰,1024-bit長度以上的RSA公鑰就足夠了,公鑰存放在病毒程序內部,而入侵者自己則保留私鑰;接下來病毒會根據受感染主機的操作系統,隨機產生對稱密鑰(Symmetric Key),例如128-bit的AES密鑰;然後,病毒將主機上的重要資料加密,例如重要財務數據、研究論文、管理決策等; 另外,病毒使用內部的公鑰加密對稱密鑰;病毒清除(Zeroization)掉生成的對稱密鑰並且刪除(File-Wiping)掉所有原始數據; 私鑰的控制者與被綁架的信息擁有者進行聯系,以進行敲詐和勒索活動。因為只有使用私鑰才能夠還原被加密的數據資料。 雖然上述這種使用加密技術結合病毒的手法並不復雜,但隨著其與網絡釣魚、偷竊個人隱私、DDOS勒索等技術的結合應用,就成為了非常令人頭痛的安全隱患。
