萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 下一件安全大事:加強防范自定義木馬

下一件安全大事:加強防范自定義木馬

病毒、蠕蟲和木馬之間的界限越來越模糊,考慮到它們的潛在目的,對它們的理解也越來越容易。通常,病毒通過電子郵件傳播,帶有一定的有效載荷。蠕蟲通過其它渠道,比如IM、SNMP、RSS(現在還沒有,不過估計也快了)以及其它的微軟協議。蠕蟲通常也會帶來一定的載荷。它們的目的都是盡可能快地傳播。

特洛伊木馬的原型是把希臘人藏起來帶到特洛伊城,現在特洛伊木馬通常指的是存放在用戶計算機中的載荷。黑客通過木馬遠程訪問用戶的計算機,他們利用這個開著的後門安裝任何他們想要安裝的程序。有的黑客甚至可以利用木馬打開用戶計算機上的CD播放器,僅僅是為了能夠發聲,從中獲得娛樂。

不過並不是所有的木馬都是為了娛樂的游戲。僵屍網絡就是靜靜等待命令,然後針對目標網站發起攻擊。還有一些木馬被用來安裝廣告軟件,黑客從中獲取利潤。當然了,很容易安裝這樣的軟件,來記錄你通過鍵盤敲擊的一切,甚至是你對筆記本的麥克風所講的一切。木馬有如此多的功能,可以用來產生利益,以至於現在好多病毒和蠕蟲都會安裝木馬。

反病毒廠商聘用了大量的研究員、蜜罐和用戶以最快的速度找到病毒。平均要花費六個小時來發現病毒、對之進行分類,並給用戶提供新的定義。整個行業的致命弱點就是,這些研究技術不能做任何可以保護你免受自定義病毒或木馬侵襲的事情。

自定義的惡意軟件很容易創建。把一個現有的木馬或病毒的源代碼拿出來修改,使得現有的反病毒和反間諜軟件無法識別。即便是你或者你們的IT部門發現了這個木馬,報告它也沒有任何意義,因為它並沒有廣泛傳播。所以自定義木馬的開發者就可以用他的木馬再去攻擊其他目標。

Michael Haephrati開發的臭名昭著的木馬,被用來竊取以色列許多公司的機密信息。現在,中國也處於一場商業級的網絡釣魚長征中。

首先,發送一個自定義的病毒來搜集電子郵件地址,該病毒只處於被攻擊目標的域內。然後向含有自定義木馬的機器發送電子郵件,發送地址看起來都是同一個單位內部的,這樣用戶就很可能會打開這封郵件。

對於這種類型的攻擊,還沒有有效的防范措施。你可以不打開任何附件,不過會以損失生產力為代價,你可能會錯過一些寶貴的機會。現有的反病毒和反間諜軟件產品都沒有被設計成可以發現自定義木馬。

那麼我們應該怎麼做呢?

?使用防火牆的代理服務器防止內部交互被發送給黑客。阻止FTP、Telnet和SSH。在英國,這樣做可以起一些作用,可以對付Haephrati的木馬,但好景不會很長,自定義木馬的作者會把木馬改成利用其它渠道,比如電子郵件、Skype、Web等。

?使用各種基於主機的入侵防護系統,有可能會識別出木馬偷偷摸摸的行為並加以阻止。Sana安全公司、McAfee、eEye、Determina和賽門鐵克都已經開發了這樣的產品。這些產品不是萬能的,但在捕捉自定義木馬方面還有兩下子。

?使用一個白名單,列出可以不阻止的好朋友。Websense有這樣一個客戶端,同時可以阻止通向外部已知的壞的IP地址的交互。

自定義木馬是一種新型的網絡威脅,以用戶的信息、機構及財產為攻擊目標。如果你認為零日攻擊蠕蟲很令人頭疼,那麼相比之下自定義木馬毫不遜色。自定義木馬不需要依賴已有的漏洞,用現有的桌面或網絡保護措施無法識別出它們,並且操縱自定義木馬的人的出發點就是給你帶來危害。

copyright © 萬盛學電腦網 all rights reserved