李海明：互聯(lián)網(wǎng)病毒傳播和攻擊的新趨勢

相關(guān)專題：共建可信任的互聯(lián)網(wǎng) 2008瑞星互聯(lián)網(wǎng)安全技術(shù)大會

圖：瑞星互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室工程師李海明

李海明：各位領(lǐng)導(dǎo)、各位嘉賓、大家好！我是瑞星公司的李海明，今天非常有幸能夠參加這個互聯(lián)網(wǎng)安全技術(shù)大會，在此對大家的到來首先表示感謝！感謝王總給大家談了很多數(shù)據(jù)，很多可能令大家觸目驚心的數(shù)字，接下來我給大家具體的聊一聊互聯(lián)網(wǎng)病毒傳播和攻擊的新趨勢，其實(shí)也是分析一下數(shù)據(jù)背后我們的一些新的發(fā)現(xiàn)。

首先看兩個真實(shí)的案例，第一個講述的是普通的計(jì)算機(jī)用戶在無意間瀏覽了掛馬病毒的網(wǎng)站導(dǎo)致系統(tǒng)癱瘓的過程。這是一個健康的系統(tǒng)，像我們平常大家用的系統(tǒng)一樣裝有很多自己的應(yīng)用軟件，像媒體播放器還有很多很多的應(yīng)用，這時候?qū)嶋H上我們看到所有的工具都是可以正常使用的，這是一個非常健康的系統(tǒng)，我們的電子讀書器等等，應(yīng)用軟件都是良好的狀態(tài)。一旦我們無意間上了一個掛馬的網(wǎng)站之后就有可能導(dǎo)致整個系統(tǒng)健康狀態(tài)的破壞。看一下，PPlive也可以正常用的也可以正常連接，一旦訪問了一個惡意網(wǎng)站之后出現(xiàn)了什么事情？大家請注意，這個網(wǎng)址是被掛馬的網(wǎng)站，馬上進(jìn)行了一個跳轉(zhuǎn)連接到另外一個網(wǎng)站，這個網(wǎng)站已經(jīng)被植入了木馬病毒，底下IE的進(jìn)度條不斷的在前進(jìn)，但是系統(tǒng)的狀態(tài)？這就是真實(shí)的，系統(tǒng)的狀態(tài)幾乎是沒有響應(yīng)的狀態(tài)，實(shí)際真的沒有響應(yīng)嗎？這只是表面的一個現(xiàn)象，大家現(xiàn)在看到的就是有可能有的朋友經(jīng)歷過的一些事情，我們一旦訪問了惡意網(wǎng)站，這時候我們的計(jì)算機(jī)就不聽使喚了，沒有響應(yīng)了，我們可能以為死機(jī)了，但是實(shí)際上后臺還在做很多事情，當(dāng)然現(xiàn)在我們看不到，待會兒會給大家答案。這時候提示W(wǎng)indows的虛擬內(nèi)存太低，說明有什么東西已經(jīng)耗費(fèi)了我們的資源，遇到這種情況大家可能只能重啟計(jì)算機(jī)。我們重啟了之后來看，進(jìn)入系統(tǒng)之后，自動打開了剛才那個網(wǎng)頁這時候我們再注意觀察一下，我們的開始菜單里面，我們所有的程序圖表都變成了另外一種，而且應(yīng)用程序都不再可用了，而且Windows也提示系統(tǒng)的軟件被替換了，所有的應(yīng)用程序都不可用了。那我們進(jìn)系統(tǒng)里面看看出了什么事情了？雙擊磁盤進(jìn)不去了，用這種程序進(jìn)去，進(jìn)去以后變成這樣了，大家可能有一個意識——我中招了。熊貓燒香就是這樣子，感染了以后系統(tǒng)就成了這樣，剛才我們看到的就是表面的現(xiàn)象，為什么會出現(xiàn)這樣的問題呢？可能很多朋友會有疑問我只是訪問了一個網(wǎng)站，一個很簡單的操作什么東西都沒有做，為什么會這樣？

看一下，首先打開系統(tǒng)的目錄，大家知道這是我們平時的一些應(yīng)用，一些臨時的文件放在這，現(xiàn)在是正常的狀態(tài)，一旦我訪問了惡意網(wǎng)址之后，我們看，在打開頁面的同時，我們看到的只是表面的現(xiàn)象，后臺恰恰地下載了很多的程序，進(jìn)程里面也有很多未知的進(jìn)程，這就是發(fā)生的變化。下載了無數(shù)的病毒的軟件，而且都悄悄的無聲無息地執(zhí)行起來，這就是剛才大家看到背后的情況。所以很多朋友看了以后可能心有余悸，或者覺得感同身受，沒錯，因?yàn)檫@就是很真實(shí)發(fā)生在我們身邊的事情，有可能大家在工作中遇到的情況。

剛才看了這么多，大家估計(jì)會想，病毒真的就這么厲害嗎？這是我們在一些各大安全廠商，殺毒廠商的論壇上截取的一些信息，我們看到像用戶的這種困惑、無奈和無助屢見不鮮，病毒真的有那么厲害嗎？是技術(shù)上有突破了嗎？還是做病毒的人更多了？實(shí)際上怎么樣的？我們一會兒再解釋。制造病毒的人數(shù)量在增加，但這不是根本的原因。根本的原因在哪里？

我們先回顧一下病毒的發(fā)展史，早期CIS大家都知道，到2000年的時候出現(xiàn)了愛存病毒，通過電子郵件傳播，03年出現(xiàn)了蠕蟲王的病毒，04年振蕩波的病毒，大家那時候開始意識到我們操作系統(tǒng)的補(bǔ)丁是多么重要，06年熊貓燒香病毒。今年最新的木馬群的病毒，利用第三方的漏洞來進(jìn)行傳播。實(shí)際上我們看到這么多的有代表性的典型的病毒，他們的傳播方式，他們所利用的一些機(jī)制都在悄悄地發(fā)生一些變革，之前的病毒更多的是去破壞我們的系統(tǒng)和網(wǎng)絡(luò)，現(xiàn)在的話，我們更多的看熊貓燒香也好，木馬群也好，更多的會去盜取用戶的帳號，會有這樣的一些改變，這實(shí)際上就是我們談到的電腦病毒傳播和攻擊的新趨勢。計(jì)算機(jī)病毒已經(jīng)實(shí)現(xiàn)了互聯(lián)網(wǎng)化，那么什么是互聯(lián)網(wǎng)化？什么是計(jì)算機(jī)病毒實(shí)現(xiàn)了互聯(lián)網(wǎng)化？我們來做一下對比，首先從目的上來說，過去的病毒和現(xiàn)在的病毒有什么不同呢？過去的病毒制造者是出于宣揚(yáng)技術(shù)或者惡作劇的目的開發(fā)的，現(xiàn)在更多的是以經(jīng)濟(jì)利益為目的，就是我制造這個病毒是為了獲取經(jīng)濟(jì)利益，往往后面有集團(tuán)化的運(yùn)作，技術(shù)上沒有什么根本性的變革。從傳播途徑上來說，我們看到90%以上的傳播都是通過網(wǎng)頁掛馬的方式。我們需要看到這個對比，需要了解的就是過去的病毒和現(xiàn)在的病毒最大的不同，就是過去更多是單兵作戰(zhàn)現(xiàn)在有明確的分工，誰生產(chǎn)誰傳播？有一整套的流程化的東西，這些就是過去和現(xiàn)在的變化。

我們看這張圖，這是剛才我們一直在提互聯(lián)網(wǎng)病毒的產(chǎn)業(yè)鏈，那么什么是產(chǎn)業(yè)鏈？從左下腳，我需要有漏洞的挖掘者，利用這個漏洞制造病毒，然后有人收購這個病毒，那就是病毒持有人，接下來持有人賣給病毒的銷售人員，銷售人員把已經(jīng)成型的病毒賣給需要的人，就是我們所說的盜號者，盜號者把這些病毒通過流量商植入這個網(wǎng)站里面，網(wǎng)站成為了傳播的平臺。那我們說了是經(jīng)濟(jì)利益，那最終錢從哪兒來？就是計(jì)算機(jī)用戶，一旦計(jì)算機(jī)感染病毒以后，計(jì)算機(jī)里存儲的帳號、密碼、個人的財產(chǎn)，包括企業(yè)里機(jī)密的信息都有可能轉(zhuǎn)化為金錢這就是整個互聯(lián)網(wǎng)病毒的狀況，分工非常明確，就像真實(shí)的商業(yè)公司一樣有研發(fā)團(tuán)隊(duì)、策劃團(tuán)隊(duì)、銷售團(tuán)隊(duì)，甚至可以有售后服務(wù)隊(duì)伍，我可以按照你的需要定制，這就是很明顯的體制，這就是變化這就是互聯(lián)網(wǎng)病毒產(chǎn)業(yè)鏈。

我們看木馬病毒的制造，這是流水線的工業(yè)化生產(chǎn)模型，首先是漏洞的挖掘，這是前期做的工作，一旦漏洞挖掘成功，我會根據(jù)漏洞做網(wǎng)頁的木馬，目的通過利用這些漏洞入侵計(jì)算機(jī)用戶當(dāng)前的系統(tǒng)。第三個，盜號木馬入侵完你的系統(tǒng)了要做什么？就是要掠奪里面的資源。還有一個病毒化解器，就是一旦你被感染了一次，他就會從網(wǎng)站上不停的下載很多的病毒，只要一次感染之后會經(jīng)常遭受這樣的侵襲，這就是整個的流水線式的工業(yè)化生產(chǎn)模型。

我們首先看漏洞挖掘，左邊的是漏洞挖掘的流程的狀況。在早期，很多安全工作者，挖掘完網(wǎng)絡(luò)漏洞之后會把信息報告給相關(guān)的廠商，廠商會基于這些漏洞把當(dāng)前的系統(tǒng)進(jìn)行補(bǔ)丁修補(bǔ)。現(xiàn)在漏洞挖掘取決于漏洞挖掘的道德，我不需要做病毒，我只需要挖掘出漏洞的信息，把這個信息就可以出售，就可以換錢，這就導(dǎo)致很多漏洞的信息在網(wǎng)上出售。我們來看右側(cè)就是黑客網(wǎng)站的截圖，左邊是漏洞的名稱，中間是它所在的平臺，我們看到有Windows的，有WindowsXP，很多，最右邊是價格，我們看到這就像一個超市一樣，很真實(shí)的狀況。接下來網(wǎng)頁木馬和盜號木馬的制作，先看網(wǎng)頁木馬的制作。我利用這個模板可以根據(jù)我的需要，我需要去利用哪個漏洞，漏洞可以利用這個統(tǒng)一的模板操作。右側(cè)更簡單了，盜號木馬只需要選擇你想要盜什么游戲的帳號就可以了。實(shí)際上經(jīng)過剛才這些大家已經(jīng)看到，現(xiàn)在的互聯(lián)網(wǎng)病毒更多是模塊清晰，分工明確?，F(xiàn)在的病毒它的威力更大，破壞性和傳播速度遠(yuǎn)遠(yuǎn)的超過以前。

再看傳播，傳播的話剛才我們提到有超過90%的傳播途徑都在利用網(wǎng)頁掛馬，如果網(wǎng)站的訪問量很大的話，這些訪問的用戶都可能成為掛馬之后的受害者，如果我擁有大量的流量的話，大批的用戶只要訪問這個網(wǎng)站，很簡單的一個操作就可能成為我控制的目標(biāo)。所以很多病毒的傳播者，他們會去利用各種手段來提升掛馬網(wǎng)站的一些訪問。比如說首先我們可以通過收購一些流量掛馬的方式，比如說收購一些大的色情網(wǎng)站，或者收一些廣告的網(wǎng)站，這地方可能擁有大量的網(wǎng)絡(luò)流量。第二種提到的大型的網(wǎng)站，他可以雇傭黑客入侵達(dá)到掛馬的目的。第三種也可以利用SEO計(jì)算，通過一些算法，優(yōu)化我欺騙性的網(wǎng)站的排名，更容易的讓用戶去點(diǎn)擊，包括用P2P的形式給大家下載一些軟件，這都是木馬病毒傳播的主要的方式。

剛才提到了很多病毒很厲害的一面，那很多朋友在想，我們的殺毒軟件呢？我們的殺毒軟件本身就是用來殺病毒的，防御的，那我們的殺毒軟件呢？實(shí)際上我們看到，殺毒軟件在現(xiàn)在這種狀況下，傳統(tǒng)殺毒軟件會有他的很多的困境，首先漏洞利用率來講，現(xiàn)在我們看到超過6層的漏洞利用都是針對于我們的應(yīng)用程序，常見的應(yīng)用程序，比如說剛才大家看到的，都是第三方的漏洞，這些越來越成為病毒制造者關(guān)注的重點(diǎn)，因?yàn)槲覀冇脩艋蛘邚S商對這方面關(guān)注的意識要薄弱一點(diǎn)，而且平常你裝一個什么應(yīng)用軟件，如果不是為了體驗(yàn)什么功能，一般不會去進(jìn)行安全更新，這實(shí)際上就是我們需要轉(zhuǎn)變的地方。

第二個，通過加密變形的方式，以前我們可以利用網(wǎng)頁監(jiān)控的方式來查殺這些掛馬的網(wǎng)頁，防止一些腳本病毒侵害用戶的電腦。但是我們看這是一樣的兩個文件，左側(cè)是原文件，右側(cè)是加密后的文件，傳統(tǒng)的特征碼的方式是無能為力的，而且這種加密變形我可以進(jìn)行多重的計(jì)算，可以變形多次，也可以通過不同的算法來做，那對于殺毒軟件來說傳統(tǒng)的已經(jīng)不太適應(yīng)。

第三個ARP攻擊，很多朋友都知道ARP攻擊，首先黑客訪問他在網(wǎng)絡(luò)上的一個匿名空間，這存的是他的病毒，他已經(jīng)獲取了一個網(wǎng)站權(quán)限，他登陸以后就會在這個網(wǎng)站上掛置一些木馬。ARP攻擊就是受侵害的電腦會成為一個攻擊源，不斷地對局域網(wǎng)的電腦技術(shù)攻擊?？匆幌?，對于大家來看，頁面上沒有顯示，因?yàn)槭橇愠肆愕?，但是?shí)際上已經(jīng)在執(zhí)行這個代碼，然后我們現(xiàn)在訪問這個掛馬的頁面，訪問之后就會啟動ARP攻擊的程序，在真實(shí)情況下是不存在，我們是為了讓大家看所以設(shè)定的。真實(shí)的病毒在后臺可能把這些已經(jīng)做好了，已經(jīng)內(nèi)置了這樣的參數(shù)。我們現(xiàn)在啟動另外一臺電腦，局域網(wǎng)的機(jī)器，來訪問任意一個網(wǎng)站，只要局域網(wǎng)里面有這樣一臺電腦，我們訪問任何一個網(wǎng)站都會被插入一個代碼，我訪問任何一個頁面，里面都被插入了那么一段字，目的就是為了連接到剛才黑客登陸的匿名空間下載病毒。這就是另外一種方式，病毒的傳播者通過ARP的攻擊手段擴(kuò)大攻擊的范圍。

最后安全威脅無處不在，可能朋友會這樣想，既然我們通過瀏覽網(wǎng)頁的方式不安全，那是不是我訪問網(wǎng)頁的時候注意一些就可以了呢？答案是否定的，比如說你看我們的播放器，他們也會內(nèi)置一個網(wǎng)頁，連接到他們的主頁，還有其他的工具都應(yīng)用了鑲嵌的技術(shù)，不單單是瀏覽器，不單單是網(wǎng)頁可以掛木馬，MP3等等都可以進(jìn)行掛馬的操作。所以我們說安全威脅無處不在，因此，并非只在瀏覽網(wǎng)頁的時候才有可能中木馬。

總結(jié)一下，第一點(diǎn)網(wǎng)頁掛馬是計(jì)算機(jī)病毒傳播的主要傳播源，謀取經(jīng)濟(jì)利益是他們的根本目的。第二點(diǎn)，普通的用戶通過自身的安全意識很難去防范。第三通過加密變形，網(wǎng)頁木馬可以躲避傳統(tǒng)的殺毒軟件的處理。再有只要我們的計(jì)算機(jī)被感染一次就有可能長期成為目標(biāo)。綜合這些我們說互聯(lián)網(wǎng)病毒傳播和攻擊的新趨勢，就是計(jì)算機(jī)病毒已經(jīng)實(shí)現(xiàn)了互聯(lián)網(wǎng)化，這就是今天闡述的重點(diǎn)的內(nèi)容。說了這么多大家會有疑問了，病毒這么厲害，那我們怎么保證良好的上網(wǎng)環(huán)境呢？作為反病毒廠商是不是就在病毒面前無可奈何呢？當(dāng)然不是，怎么做呢？稍后我的同事會給大家?guī)砣鹦堑拇鸢福x謝大家！

相關(guān)文章: