過去的2007年,從技術更加精湛的網絡注入到隱蔽性更強的釣魚式攻擊,從頻頻被利用的系統漏洞到悄然運行的木馬工具,網絡攻擊者的手段也更加高明……
2007年,網絡安全界風起云涌,從技術更加精湛的網絡注入到隱蔽性更強的釣魚式攻擊,從頻頻被利用的系統漏洞到悄然運行的木馬工具,網絡攻擊者的手段也更加高明。
網絡攻擊的發展趨勢
綜合分析2007年網絡攻擊技術發展情況,其攻擊趨勢可以歸納如下:
如今安全漏洞越來越快,覆蓋面越來越廣
新發現的安全漏洞每年都要增加一倍之多,管理人員要不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的許多新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。
攻擊工具越來越復雜
攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特征更難發現,更難利用特征進行檢測。攻擊工具具有以下特點:
◆ 反偵破和動態行為
攻擊者采用隱蔽攻擊工具特性的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多; 早期的攻擊工具是以單一確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為。
◆ 攻擊工具的成熟性
與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的一部分迅速變化,發動迅速變化的攻擊,且在每一次攻擊中會出現多種不同形態的攻擊工具。此外,攻擊工具越來越普遍地被開發為可在多種操作系統平臺上執行。
攻擊自動化程度和攻擊速度提高,殺傷力逐步提高
掃描可能的受害者、損害脆弱的系統。目前,掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。以前,安全漏洞只在廣泛的掃描完成后才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分,從而加快了攻擊的傳播速度。
傳播攻擊。在2000年之前,攻擊工具需要人來發動新一輪攻擊。目前,攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播,在不到18個小時內就達到全球飽和點。
越來越不對稱的威脅
Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決于連接到全球Internet上其他系統的安全狀態。
由于攻擊技術的進步,一個攻擊者可以比較容易地利用分布式系統,對一個受害者連續發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高,威脅的不對稱性將繼續增加。
越來越高的防火墻滲透率
防火墻是人們用來防范入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火墻,例如,Internet打印協議和WebDAV(基于Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火墻。
對基礎設施將形成越來越大的威脅
基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業務,基礎設施攻擊引起人們越來越大的擔心。
基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具并控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊,電纜調制解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。
我們可以從攻擊者的角度出發,將攻擊的步驟可分為探測(Probe)、攻擊(Exploit)和隱藏(Conceal)。同時,攻擊技術據此可分為探測技術、攻擊技術和隱藏技術三大類,并在每類中對各種不同的攻擊技術進行細分。
探測技術和攻擊測試平臺的發展
探測是黑客在攻擊開始前必需的情報收集工作,攻擊者通過這個過程需要盡可能詳細的了解攻擊目標安全相關的方方面面信息,以便能夠集中火力進行攻擊。
探測又可以分為三個基本步驟:踩點、掃描和查點。
如果將服務器比作一個大樓,主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭,在大樓發生盜竊事件之后,對攝像頭中的影像進行分析,進而為報案和“亡羊補牢”做準備。
第一步:踩點。是指攻擊者結合各種工具和技巧,以正常合法的途徑對攻擊目標進行窺探,對其安全情況建立完整的剖析圖。
在這個步驟中,主要收集的信息包括:各種聯系信息,包括名字、郵件地址和電話號碼、傳真號; IP地址范圍; DNS服務器; 郵件服務器。
對于一般用戶來說,如果能夠利用互聯網中提供的大量信息來源,就能逐漸縮小范圍,從而鎖定所需了解的目標。
幾種實用的流行方式有:通過網頁搜尋和鏈接搜索、利用互聯網域名注冊機構進行Whois查詢、利用Traceroute獲取網絡拓撲結構信息等。
第二步:掃描。是攻擊者獲取活動主機、開放服務、操作系統、安全漏洞等關鍵信息的重要技術。
掃描技術包括Ping掃描(確定哪些主機正在活動)、端口掃描(確定有哪些開放服務)、操作系統辨識(確定目標主機的操作系統類型)和安全漏洞掃描(獲得目標上存在著哪些可利用的安全漏洞)。
Ping掃射可以幫助我們判斷哪些系統是存活的。而通過端口掃描可以同目標系統的某個端口來建立連接,從而確定系統目前提供什么樣的服務或者哪些端口正處于偵聽狀態。
著名的掃描工具包括nmap、netcat等,知名的安全漏洞掃描工具包括開源的nessus及一些商業漏洞掃描產品如ISS的Scanner系列產品。
另外,在網絡環境下,網絡掃描技術則是指檢測目標系統是否同互聯網連接、所提供的網絡服務類型等。
通過網絡掃描獲得的信息有:被掃描系統所運行的TCP/UDP服務; 系統體系結構; 通過互聯網可以訪問的IP地址范圍; 操作系統類型等。
第三步:查點。是攻擊者常采用的從目標系統中抽取有效賬號或導出資源名的技術。
通常這種信息是通過主動同目標系統建立連接來獲得的,因此這種查詢在本質上要比踩點和端口掃描更具有入侵效果。查點技術通常和操作系統有關,所收集的信息包括用戶名和組名信息、系統類型信息、路由表信息和SNMP信息等。
綜觀本年度比較熱門的攻擊事件,可以看到,在尋找攻擊目標的過程中,以下手段明顯加強:
(1)通過視頻文件尋找“肉雞”。在今年,這種方法大有星火燎原之勢,攻擊者首先要配置木馬,然后制作視頻木馬,如RM木馬、WMV木馬等,然后通過P2P軟件、QQ發送、論壇等渠道進行傳播,用戶很難察覺。
(2)根據漏洞公告尋找“肉雞”。現在,關于漏洞技術的網站專業性更強,在http://www.milw0rm.com這個網站上,經常會公布一些知名黑客發現的漏洞,從遠程攻擊、本地攻擊到腳本攻擊等,描述十分詳細。在漏洞補丁沒發布前,這些攻擊說明可能會進一步加大網絡安全威脅。
(3)利用社會心理學、社會工程學獲取目標信息。比如,通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已呈迅速上升甚至濫用的趨勢。
