《黑客大曝光:惡意軟件和Rootkit安全》推薦序(By Lance Spitzner)
在我從事信息安全工作的將近15年中�,惡意軟件(malware)已經(jīng)成為網(wǎng)絡(luò)攻擊者武器庫中最有力的工具�。從窺探財務(wù)記錄和竊取擊鍵到對等(peer-to-peer)網(wǎng)絡(luò)和自動更新功能,惡意軟件幾乎成為所有成功攻擊的關(guān)鍵部件�����。情況并非從來如此��,我記得1998年剛開始從事信息安全工作時��,我部署了自己的第一只蜜罐��。這使我能夠看到攻擊者進入并且接管真實的計算機��,由此我學(xué)到了關(guān)于他們的工具和技術(shù)的第一手資料��。在那時候,攻擊者通過人工掃描整個網(wǎng)絡(luò)的各個部分來攻擊����,他們的目標(biāo)是建立一個在互聯(lián)網(wǎng)上能夠訪問到的IP地址列表。在花費數(shù)天的時間建立這個數(shù)據(jù)庫之后�����,攻擊者將會回來��,在他們找到的每臺電腦上刺探常用的端口��,查找已知的漏洞���,例如脆弱的FTP服務(wù)器或者開放的Windows文件共享��。一旦發(fā)現(xiàn)這些漏洞��,攻擊者將利用該系統(tǒng)�。刺探和利用的整個過程可能花費幾個小時到幾周�����,在每個階段需要不同的工具�����。利用成功之后,攻擊者將會上傳更多的工具�����,每個工具都有各自的作用�,并且通常人工運行�。例如,一個工具能夠清除日志���;另一個工具則保護系統(tǒng)��;別的工具則檢索密碼或者掃描其他脆弱的系統(tǒng)���。你往往可以通過攻擊者運行不同工具或者執(zhí)行系統(tǒng)命令時犯錯的數(shù)量來判斷其水平。觀察和學(xué)習(xí)攻擊者�����,并且識別其身份和動機是令人愉快和感興趣的��,這時候你的感覺就像和闖入你的電腦的人有了私人關(guān)系一樣�����。
現(xiàn)在,網(wǎng)絡(luò)防御的形勢已經(jīng)有了根本的變化�。過去,要攻擊和危害一臺計算機����,每一步幾乎都包含著人工交互。現(xiàn)在����,幾乎所有的攻擊都是高度自動化的,使用最先進的工具和技術(shù)��。過去�����,你可以看到威脅并從中學(xué)習(xí)�,記錄攻擊者采取的每個步驟。現(xiàn)在����,整個過程都是有預(yù)謀的,發(fā)生在幾秒鐘之內(nèi),沒有任何可觀察和學(xué)習(xí)的東西�����。從開始的刺探到泄密再到數(shù)據(jù)收集���,攻擊的每個步驟都預(yù)先封裝到我們所看到的最先進的技術(shù)—惡意軟件之中����。病毒剛剛問世時�,只不過是修改系統(tǒng)上的幾個文件以及竊取一些文檔�����,或者試圖破解系統(tǒng)密碼的簡單工具�,F(xiàn)在,惡意軟件已經(jīng)變得極其成熟����,它們能夠讀取受害者的存儲器,并且感染啟動扇區(qū)����、BIOS,此外還有基于內(nèi)核的Rootkit。
更有趣的是����,惡意軟件利用僵尸網(wǎng)絡(luò)(botnet)建立和維護對泄密系統(tǒng)的整個網(wǎng)絡(luò)的控制能力。這些僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)犯罪分子控制下的有高度組織性的網(wǎng)絡(luò)��。網(wǎng)絡(luò)犯罪分子使用這些網(wǎng)絡(luò)來獲取數(shù)據(jù)并且發(fā)送垃圾郵件����,攻擊其他網(wǎng)絡(luò)或者部署仿冒站點。現(xiàn)代的惡意軟件使這些僵尸網(wǎng)絡(luò)成為可能���。更糟糕的是�����,網(wǎng)絡(luò)攻擊者從全世界獲得惡意軟件�����,并且不斷地創(chuàng)建和改進惡意軟件����。在我寫這篇序的時候��,全世界正在從一個有史以來最高級的惡意軟件Conficker的攻擊中恢復(fù)。數(shù)百萬臺電腦受到一群有組織的犯罪分子的侵害和控制�。這次攻擊非常成功,以至于整個政府組織(包括美國國防部)都禁止移動媒體的使用���,以減緩攻擊的蔓延����。Conficker還引入了我們所見過的最高級的惡意軟件功能���,使用最新的加密技術(shù)來進行隨機域名生成和自治點對點通信���。不幸的是,這一威脅越來越嚴(yán)重�。防病毒公司每天差不多要對付數(shù)千種新的惡意軟件變種�,這個數(shù)字還會不斷增長。
我們所看到的惡意軟件的最大改變不只是技術(shù)�,還有這些技術(shù)背后的攻擊者,以及他們開發(fā)惡意軟件的動機��。我原來所監(jiān)控的大部分攻擊者都可以歸類為腳本小孩����,即一些沒有熟練技能,只能使用從別處拷貝的工具的孩子。他們?yōu)榱藠蕵坊蛘呓o朋友們留下印象而進行攻擊�。還有一小部分人開發(fā)和使用自己的工具,但是動機往往是好奇心�����,以及對自己的工具或者侵害系統(tǒng)能力的測試�����,或者是為了出名�。今天我們所面對的威脅與此大不相同,這些威脅正在變得更有組織�,更有效率,也更致命�。
今天,我們面對著有組織的犯罪分子���,他們關(guān)注投資回報率(Return On Investment�����,ROI)����,擁有研究和開發(fā)團隊,開發(fā)最有利可圖的攻擊���。和任何具有利益中心的企業(yè)一樣����,這些犯罪分子關(guān)注效率和經(jīng)濟性�����,試圖在全球范圍獲得盡可能多的利益�。此外,這些犯罪分子已經(jīng)發(fā)展了自己的惡意軟件黑市�����。和其他經(jīng)濟體一樣����,你能找到一個完整的黑市�,犯罪分子在這個黑市中進行交易并且銷售最新的惡意軟件工具,惡意軟件已經(jīng)成為一種服務(wù)�。犯罪分子為客戶開發(fā)定制的惡意軟件或者將惡意軟件作為服務(wù)進行租賃,服務(wù)包括支持�����、更新,甚至性能的約定�。例如,犯罪分子可以開發(fā)定制的惡意軟件�,并且保證避開大部分防病毒軟件,或者設(shè)計軟件來利用未知的漏洞�。
一些國家機構(gòu)也在開發(fā)最新的網(wǎng)絡(luò)戰(zhàn)工具。這些機構(gòu)具有幾乎無限的預(yù)算��,并且擁有世界上最先進的技能����。它們所開發(fā)的惡意軟件用來悄悄地滲透和侵入其他國家,并且盡可能地收集情報�,就像我們在最近的美國政府網(wǎng)絡(luò)攻擊案中所看到的那樣。使用惡意軟件的國家級攻擊還會擾亂其他國家的網(wǎng)絡(luò)活動�,例如,對一些
國家的網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊就是有組織并由惡意軟件發(fā)起的�。惡意軟件已經(jīng)成為今天所見的幾乎所有攻擊的共有因素。為了保護你的網(wǎng)絡(luò)��,你必須理解和防御惡意軟件�����。
我很高興看到Michael Davis牽頭寫作了這本關(guān)于Windows惡意軟件的書籍:《黑客大曝光:惡意軟件和Rootkit安全》。我無法想到更適合這一任務(wù)的人����。從Mike加入Honeynet項目成為Windows的主要研究者開始,我認識他將近10年了����。Mike開發(fā)了我們最強有力的數(shù)據(jù)捕捉工具sebek,這是一個高級的Windows內(nèi)核工具����。除此之外,Mike在McAfee公司的經(jīng)歷使他擁有了關(guān)于惡意軟件和防病毒技術(shù)的豐富經(jīng)驗����,他還有很多幫助提高世界各地客戶安全的經(jīng)驗,并理解各種組織所面對的挑戰(zhàn)�。他也親眼目睹了惡意軟件成為目前各種組織所面臨的最大威脅的過程。
《黑客大曝光:惡意軟件和Rootkit安全》為我們提供了令人驚嘆的資源��,它很及時����,關(guān)注我們所面臨的最大網(wǎng)絡(luò)威脅和防御�。我強烈推薦閱讀本書���。
Lance Spitzner, Honeynet項目總裁 | 
免費注冊
發(fā)表于 2011-12-22 08:53