大多数恶意软件都很普通,但这些创新技术正在利用系统和网络,甚至是最聪明的用户
数以百万计的恶意件,数千恶意黑客团伙的漫游上容易愚弄当今网络世界捕食。重用已经工作了几年,甚至几十年了同样的策略,他们做什么新的或有趣的开采我们的懒惰,在判断失误,或纯白痴。
但每年,防病毒研究人员都会遇到一些令人惊讶的技术。被恶意软件或黑客使用,这些有灵感的技术扩展了恶意黑客的边界。可以把它们看作是越轨行为中的创新。和任何创新一样,许多创新都是简单的衡量标准。
+也在网络世界:2013年科技、科学和发明领域引人注目的死亡案例+
[用诗把自己节起来14个肮脏的IT安全顾问的把戏,9个流行的IT安全实践只是不工作,10个疯狂的安全技巧。了解如何使用网页浏览器深潜PDF特别报告和安全中心通讯他们都来自“信息世界”。]
以20世纪90年代的微软Excel宏病毒为例,该病毒悄无声息地将电子表格中的零随机替换为大写的O,并立即将数字转换为文本标签并将其转换为零——这种变化在很大程度上一直没有被发现,直到备份系统中只包含了错误的数据。
当今最具独创性的恶意软件和黑客们也同样隐秘和纵容。下面是一些引起了我作为安全研究员的兴趣的最新技术,以及从中得到的教训。有些人站在过去恶意创新者的肩膀上,但所有这些都是当今非常流行的方式,以剥削甚至最聪明的用户。
隐形攻击1:假无线接入点没有比一个假的WAP(无线接入点)更容易实现的黑客了。任何使用少量软件和无线网卡的人都可以将他们的计算机宣传为可用的WAP,然后将其连接到公共位置的真实的、合法的WAP上。
想想所有你或你的用户去当地的咖啡店、机场或公共场所,并连接到“免费无线”网络的时刻。星巴克的黑客称他们的假WAP为“星巴克无线网络”,在亚特兰大机场称之为“亚特兰大机场免费无线网络”,他们让各种各样的人在几分钟内连接到他们的电脑上。然后,黑客可以从不知情的受害者和他们的目标远程主机之间发送的数据流中嗅出未受保护的数据。你会惊讶地发现,有多少数据,甚至密码,仍然以明文形式发送。
更邪恶的黑客会要求他们的受害者创建一个新的访问帐户来使用他们的WAP。这些用户很可能会使用一个通用的登录名或其中一个电子邮件地址,以及他们在其他地方使用的密码。然后,WAP黑客可以尝试在流行网站(Facebook、Twitter、Amazon、iTunes等等)上使用相同的登录凭证,而受害者永远不会知道这是如何发生的。
教训:你不能相信公共无线接入点。始终保护通过无线网络发送的机密信息。考虑使用VPN连接,这样可以保护你所有的通信,并且不要在公共和私有网站之间重复使用密码。
潜行攻击2:Cookie盗窃浏览器cookie是一项奇妙的发明,它可以在用户浏览网站时保存“状态”。这些小文本文件,通过网站发送到我们的机器,帮助网站或服务跟踪我们的整个访问,或多次访问,使我们更容易购买牛仔裤,例如。有什么不喜欢的呢?
答:当黑客窃取了我们的cookie,并因此成为了我们——这是越来越频繁发生的事情。相反,他们通过身份验证进入我们的网站,就好像他们是我们,并提供了一个有效的登录名和密码。
当然,自从网络发明以来,cookie盗窃就一直存在,但是现在的工具使得这个过程像点击,点击,点击一样简单。Firesheep例如,它是一个Firefox浏览器插件,允许人们从其他人那里窃取不受保护的cookie。当使用一个假的WAP或在一个共享的公共网络上,cookie劫持可以相当成功。Firesheep将显示它正在查找的cookie的所有名称和位置,只需简单地单击鼠标,黑客就可以接管会话(有关示例,请参阅Codebutler博客)使用Firesheep有多容易)。
更糟糕的是,黑客现在甚至可以窃取受SSL/ tls保护的cookie,并从空气中嗅出它们。2011年9月,一次被称为“野兽”的攻击通过它的创造者证明,即使是SSL /可以得到TLS保护的饼干。进一步改进和细化今年,包括那些有名的犯罪使得窃取和重用加密cookie变得更加容易。
对于每个发布的cookie的攻击,网站和应用程序开发人员被告知如何保护他们的用户。有时候,答案是使用最新的加密密码;其他时候,它是禁用一些不起眼的功能,大多数人不使用。最关键的是,所有的Web开发人员必须使用安全开发技术,以减少饼干盗窃。如果您的网站还没有更新的加密保护在短短几年内,你可能风险是。
教训:即使加密的cookie也可能被窃取。连接到使用安全开发技术和最新密码的网站。你的HTTPS网站应该使用最新的加密,包括TLS 1.2版本。
秘密行动攻击3:文件名技巧自从恶意软件出现以来,黑客们就一直在使用文件名的技巧来让我们执行恶意代码。早期的例子包括将文件命名为一些会鼓励不知情的受害者点击它(如AnnaKournikovaNudePics)和使用多个文件扩展名(如annakournikovanu描述. zip .exe)。直到今天,微软的Windows和其他操作系统很容易隐藏“众所周知”的文件扩展名,这将使annakournikovanu刻画. gif . exe看起来像annakournikovanu刻画. gif。
几年前,被称为“双胞胎”、“产卵者”或“同伴病毒”的恶意病毒程序依赖于微软Windows/DOS的一个鲜为人知的功能,在这个功能中,即使你输入文件名也会启动。当执行exe时,Windows将查找,如果找到,则执行Start.com。伴生病毒会查找您硬盘上的所有. EXE文件,并创建一个与EXE相同名称的病毒,但文件扩展名为。com。微软早就解决了这个问题,但早期黑客发现和利用它,为隐藏病毒的创造性方法奠定了基础,这些病毒今天还在继续演化。
在目前使用的更复杂的文件重命名技巧中,有一种是使用Unicode字符,这些字符会影响文件名用户的输出。例如,称为从右到左覆盖的Unicode字符(U+202E),可以欺骗很多系统显示一个名为AnnaKournikovaNudeavi.exe的文件。
教训:只要可能,在执行任何文件之前,确保知道它的真实、完整名称。
潜行攻击第4:位置,位置,位置另一个有趣的秘密技巧是使用操作系统来对抗自身的文件位置技巧,称为“相对相对于绝对”。在遗留版本的Windows (Windows XP、2003和前)和其他早期的操作系统,如果你输入一个文件名,回车,或者操作系统代表你去找一个文件,它将总是从你当前的文件夹或目录位置,之前看其他地方。这种行为似乎是有效的,无害的,但黑客和恶意软件利用了它的优势。
例如,假设您想运行内置的、无害的Windows计算器(calc.exe)。打开命令提示符,输入calc.exe并回车,这很容易(通常比使用鼠标点击几下更快)。但恶意软件可以创建一个名为calc.exe的恶意文件,并将其隐藏在当前目录或您的主文件夹中;当您试图执行calc.exe时,它会转而运行伪副本。
我喜欢这个错误渗透试验器。很多时候,当我侵入了一台计算机,需要提升我的管理员权限时,我会把一个已知的、以前易受攻击的软件的未修补版本放在一个临时文件夹中。大多数时候,我所要做的就是放置一个易受攻击的可执行文件或DLL,而保留整个先前安装的补丁程序。我将在我的临时文件夹中输入程序可执行文件的文件名,Windows将从我的临时文件夹中加载我的易受攻击的木马可执行文件,而不是最近修补的版本。我喜欢它——我可以利用一个完整的补丁系统和一个坏文件。
Linux、Unix和BSD系统已经解决了这个问题十多年了。微软在2006年的Windows Vista/2008版本中修复了这个问题,尽管由于向后兼容性问题,这个问题仍然存在于遗留版本中。多年来,微软一直在警告和教导开发人员在自己的程序中使用绝对(而不是相对)文件/路径名。尽管如此,数以万计的遗留程序仍然容易受到定位技巧的攻击。黑客比任何人都清楚这一点。
经验:使用强制执行绝对目录和文件夹路径的操作系统,并首先在默认系统区域中查找文件。
潜行攻击5:主机文件重定向现在大多数计算机用户不知道的是存在一个名为Hosts的与dn相关的文件。模块“c: windowssystem32驱动模块”等失败。主机文件可以包含输入域名到相应IP地址的链接。主机文件最初被DNS用作主机本地解析名称到ip地址查找的一种方法,而不必联系DNS服务器并执行递归名称解析。在大多数情况下,DNS功能很好,大多数人从不与他们的主机文件交互,尽管它在那里。
黑客和恶意软件喜欢在主机上编写他们自己的恶意条目,因此当有人键入一个流行的域名——比如bing.com——他们就会被重定向到其他更恶意的地方。恶意重定向通常包含一个原始所需网站的近乎完美的副本,因此受影响的用户不会意识到切换。
这个漏洞至今仍在广泛使用。
教训:如果你不能弄清楚为什么你被恶意重定向,检查你的主机文件。
潜行攻击第6:水坑攻击小袋鼠的攻击因其独创的方法论而得名。在这些攻击中,黑客利用他们的目标受害者经常在特定的物理或虚拟地点见面或工作的事实。然后他们“毒害”那个位置,以实现恶意目标。
例如,大多数大公司都有受公司员工欢迎的当地咖啡店、酒吧或餐厅。攻击者将创建假的WAPs,试图获得尽可能多的公司证书。或者,攻击者会恶意地修改一个经常访问的网站以达到同样的目的。受害者往往更放松和不怀疑,因为目标地点是一个公共或社会门户。
今年,由于苹果、Facebook和微软等几家知名科技公司的开发者访问了一些流行的应用开发网站,“水坑攻击”事件成为了一个大新闻。这些网站已经被恶意的JavaScript重定向毒害,这些重定向在开发者的电脑上安装了恶意软件(有时是零天)。受损的开发人员工作站随后被用于访问受害公司的内部网络。
教训:确保你的员工知道,流行的“水坑”是常见的黑客的目标。
潜行攻击第7号:饵转目前最有趣的黑客技术之一叫做诱饵和开关。受害者被告知他们正在下载或运行一个东西,他们暂时是,但随后它被一个恶意的项目切换。例子比比皆是。
恶意软件散布者在流行网站上购买广告空间是很常见的。网站在确认订单时,会显示无恶意链接或内容。该网站批准了广告,并收取了费用。然后,坏人将链接或内容切换为更恶意的内容。通常情况下,他们会对新的恶意网站进行编码,以便将浏览者重定向回原来的链接或内容,如果浏览者的IP地址属于原来的审批者。这使得快速检测和删除变得更加复杂。
最近我见过的最有趣的诱饵和交换攻击涉及到坏人,他们创建“免费”内容,任何人都可以下载和使用。(想想管理控制台或Web页面底部的访问者计数器。)这些免费的applet和元素通常包含一个许可条款,其大意是:“只要原始链接仍然存在,就可以自由重用。”不知情的用户使用的内容在善意,留下原始链接不动。通常,原始链接只包含一个图形文件徽标或其他一些琐碎的东西。之后,在伪元素被包含在数千个网站之后,原始的恶意开发人员将无害的内容更改为更恶意的内容(比如有害的JavaScript重定向)。