首先,我们要理解为什么黑客们愿意选择Web作为其攻击的媒介。原因有四个方面,一是其它的其它方式现在的防护措施相对健全,如email系统可采用反病毒软件、邮件过滤等技术来保护。二是Web方式灵活而广泛,用户更容易遭受感染。如果用户的浏览器有漏洞,或者使用不当都有可能感染恶意代码。第三个原因是,黑客们通过Web可以很容易地找到用户,如前些日子黑客们就曾利用SQL注入式攻击进入了许多网站,在用户单击网站上的连接时,要么将用户重定向到来意网站,要么借被感染的网站直接侵入用户计算机。第四个原因,Web恶意程序的更新速度很快,一般仅需一两天就可完成。
不妨看看近来发生的一些安全威胁。研究人员发现许多服务器在遭受攻击之后,在用户或其它网站访问时将冒着遭受跨站脚本攻击和其它的危险。还有,黑客们将Iframe攻击扩大到许多知名的站点,并将恶意代码植入到英国政府的网站中使更多的遭受攻击。据有关机构研究发现,90%的网站都有漏洞,易受攻击。
仔细黑客攻击的技术特点,我们可以发现,他们主要采用了五种伎俩:
一、信誉劫持
这种情况下,黑客们主要针对合法站点展开攻击,他们可能会修改网站的内容,添加一些恶意的脚本或HTML代码。或利用信任关系,影响大量的用户。据调查有驻有恶意内容的80%的站点都是被劫持的。再有,用于针对Web服务器的漏洞可以影响大量的站点。黑客们这样做的原因其实就是一个字“钱”。
二、下载器
黑客可以攻击网站,一旦进入系统,就会安装小的下载程序。这种程序一般有rootkit的性质,因此它一旦得逞就很难检测。而这种程序一旦运行,它就可以下载其它组件。这种下载器可以灵活地修改内容,并轻易地将漏洞利用与相继发生的恶意软件安装分离开来,从而可以避免一些实时的检测。而且这种下载器所引起的后果是层叠式的,一连串的。
下面我们看一些攻击的实例,如下图1:
在上例中,驱动式攻击已经攻击了站点,并安装了systknk.exe。这是一个下载器木马程序。然后,它又会下载另外三个文件:DLLGH8JKD1Q*.EXE,但是需要注意,有些文件本身又是下载器。这真是恶梦连连!请看下图2:
这是在三十秒之后观察的结果,可以看出,此处又下载了几个文件,并已经在受害计算机上运行了。而且一分钟之后,它们又会下载更多的文件,其中的许多文件将继续下载其它的内容,进一步控制受害机器。
三、驱动式攻击
这种攻击的特点是恶意的脚本包含着大量的漏洞利用程序,而且并不需要用户的干预。一旦用户浏览这种站点,就会被感染恶意软件。它还有一个特点,即易于构建。
这种攻击的流程可以这样描述:攻击者首先攻击A站点,使其受到损害或控制。在用户访问它时,这个受控的站点就会将用户重新指引到另外的恶意站点B,攻击者就可以通过大量的漏洞利用程序实施攻击。
四、“鱼目混珠”
之所以称之为“鱼目混珠”,是因为在用户没有仔细检查其在地址栏输入的信息时,就按下了回车键。结果打开了攻击者精心伪造的恶意的站点或钓鱼网站,从而将用户“抓住” 。还有一种情况是,黑客创建虚假的站点,在通过搜索引擎搜索信息时,如果打开这些站点就会上钩。
五、“暴雨梨花针”
暴雨梨花针是江湖中最可怕的暗器之一它能在瞬间射出许多细如牛毛的银针,每根银针上都喂有见血封喉的剧毒,故此暴雨梨花针一旦出手,后果不堪设想。
此处的“暴雨梨花针”是指恶意内容位于僵尸网络中的多个站点中,受到攻击破坏的主机会为一个特定的DNS项目注册或者重新注册其地址。而且,这种攻击能够快速移动其目标,它可以很快摧毁一些系统的防御机制,如IP过滤等。
它主要用于垃圾邮件的发送、钓鱼和恶意软件的攻击等手段中。无论怎样,在DNS轮询时,如果要查询一个域名,它就会返回超过一个的IP地址。此时,受害的机器被当作代理服务器,有时可以有超过成百上千个不同的IP地址被用于代理一个站点。
面对这种层出不穷的新威胁,普通的软件防御机制已经无法满足要求。新的威胁形式要求业界构成新的防御机制。
