引言
虽然许多组织已经开发了防病毒软件,但恶意软件(例如,计算机病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但目前情况却表明,在环境中的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。
《深层病毒防护指南》针对不同类型的恶意软件提供了简明易懂的概述,包括与恶意软件所带来的风险、恶意软件特征、复制方法和负载有关的信息。本指南详细说明了为组织规划和实现全面的病毒防护时应该注意的事项,并提供了关于深层病毒防护规划和可用于降低感染风险的相关工具的信息。本指南在最后一章中提供了一种综合方法,可帮助您快速而有效地应对恶意软件爆发或事件,并从中恢复。
指南各章摘要
《深层病毒防护指南》包括四章:
第 1 章:简介
本章提供了本指南的简介、每章的概述以及本指南的目标读者。
第 2 章:恶意软件威胁
本章定义了主要的恶意软件类型,并指定了此类别中所包含的程序类型(以及排除的类型)。本章还提供了有关恶意软件特征、攻击方法、传播方法和负载的信息。
第 3 章:深层病毒防护
本章详细说明了为客户端、服务器和网络基础结构建立全面的病毒防护时应该注意的事项。本章还讨论了 Microsoft 建议的、应在构建整体安全规划时考虑的用户策略和常规安全措施。
第 4 章:突发控制和恢复
本章提供了一种循序渐进的方法,用来基于行业最佳做法和 Microsoft 内部运作来解决恶意攻击并从中恢复。
第 1 章:简介
虽然许多组织已经部署了防病毒软件,但是新的病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但是根据 Microsoft 从系统已被感染的公司内的 IT 专业人员和安全人员的反馈来看,基本趋势非常明显,这些反馈信息中包括如下评论:
• "用户执行其电子邮件的附件,尽管我们一再告诉他们不应该……"
•"防病毒软件本应可以捕获此病毒,但是此病毒的签名尚未安装。"
•"本来根本不会攻破防火墙,我们甚至都没有意识到这些端口会被攻击。"
•"我们不知道我们的服务器需要安装修补程序。"
最近攻击的成功表明,在组织的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。最近病毒爆发的传播速度令人担忧,软件行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的传播速度。最新形式的恶意软件所表现的技术也更加先进,使得最近的病毒爆发可以躲避检测而进行传播。这些技术包括:
•社会工程。许多攻击试图看上去好像来自系统管理员或官方服务,这样就增加了最终用户执行它们从而感染系统的可能性。
•后门创建。最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问,这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程",然后使用新的恶意软件感染这些系统,或者用于运行黑客希望运行的任何代码。
•电子邮件窃取。恶意软件程序使用从受感染系统中获取的电子邮件地址,将其自身转发到其他受害者,并且恶意软件编写者也可能会收集这些地址。然后,恶意软件编写者可以使用这些地址发送新的恶意软件变形体,通过它们与其他恶意软件编写者交换工具或病毒源代码,或者将它们发送给希望使用这些地址制造垃圾邮件的其他人。
•嵌入的电子邮件引擎。电子邮件是恶意软件传播的主要方式。现在,许多形式的恶意软件都嵌入电子邮件引擎,以使恶意代码能更快地传播,并减少创建容易被检测出的异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门,以便利用这些机会来使用此类电子邮件引擎。由此可以相信,去年制造的大部分垃圾邮件都是通过这种受感染系统发送的。
•利用产品漏洞。恶意软件更经常利用产品漏洞进行传播,这可使恶意代码传播得更快。
•利用新的 Internet 技术。当新的 Internet 工具面世之后,恶意软件编写者会快速检查这些工具,以确定如何利用它们。目前,即时消息传递和对等 (P2P) 网络在这种作用力下已经成为攻击媒介。
上述恶意软件术语和技术将在本指南的下面章节中进行详细讨论。
Microsoft 仍致力于确保其提供的应用程序的安全,同时致力于与公司的合作伙伴一起来应对恶意软件的威胁。目前,Microsoft 正努力降低这些威胁产生的影响,其中包含:
•与防病毒供应商紧密合作,一起构建病毒信息联盟 (VIA)。联盟成员交换新发现的恶意软件的技术信息,这样可以快速地将目标、影响和补救信息传递给客户。有关 VIA 的详细信息,请参阅 Microsoft? TechNet 上的"Virus Information Alliance (VIA)"页,其网址为:http://www.microsoft.com/technet/security/topics/virus/via.mspx(英文)。
•研究新的安全技术(例如,活动保护技术和动态系统保护),来确保 Microsoft Windows? 平台的安全。有关这些措施的详细信息,请参阅 Microsoft.com 上的"Bill Gates' Remarks at the RSA Conference 2004",其网址为:
http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp(英文)。
http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp(英文)。
•支持法规来消除垃圾邮件,和法律执行官员和 Internet 服务提供商 (ISP) 一起来起诉垃圾邮件。有关致力于此方面的联盟的信息,请参见 America Online、Microsoft 和 Yahoo!Microsoft.com 上"Join Forces Against Spam",其网址为:http://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp(英文)。
•宣布防病毒奖励计划,并与法律执行机构紧密合作,以减少来自恶意软件编写者的威胁。有关防病毒奖励计划的详细信息,请参阅 Microsoft.com 上的"Microsoft Announces Antivirus Reward Program"页,其网址为:http://www.microsoft.com/presspass/press/2003/nov03/11-05AntiVirusRewardsPR.asp(英文)。
Microsoft 提供了此安全指南,以便帮助您识别基础结构中所有应考虑实现病毒防护的地方。此外,还提供了有关如何在感染(如果您的环境中发生了感染)后进行补救和恢复的信息。
第 2 章:恶意软件威胁
简介
《深层病毒防护指南》在本章中简要介绍了计算机病毒的演变,从最初相对简单的病毒到如今存在的各种各样的恶意软件。本章定义了已知恶意软件类型和技术的分类,同时提供了与恶意软件传播及其给各种规模的组织所带来的风险有关的信息。
由这个主题不断发展的本质所决定,本指南并不旨在记录和解释所有恶意软件元素及其可能的变体。然而,本指南的确在尝试了解包含恶意软件的各种元素的本质方面迈出了意义重大的第一步。本指南还讨论并定义了恶意软件之外的其他内容,如间谍软件(在没有获取用户相应许可的情况下就在计算机上执行某些活动的程序)、垃圾邮件(未经请求的电子邮件)和广告软件(集成到软件中的广告)。
计算机病毒的演变
20 世纪 80 年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的,并且是相对简单的自行复制的文件,它们仅在执行时显示简单的恶作剧而已。
注意:值得注意的是,提供病毒演变的明确历史几乎是不可能的。恶意软件的非法本质意味着,作恶者关注的是如何隐藏恶意代码的来源。本指南介绍病毒研究人员和防病毒行业普遍认可的恶意软件历史。
1986 年,报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒;人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而,1986 年出现的其他首批病毒还包括 Virdem(第一个文件病毒)和 PC-Write(第一个特洛伊木马病毒,此程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。)在 PC-Write 中,特洛伊木马程序伪装成一个同名的流行共享软件:字处理器应用程序。
随着更多的人开始研究病毒技术,病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区,然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒(一种使用自行传播恶意代码的恶意软件,它可以通过网络连接,自动将其自身从一台计算机分发到另一台计算机)。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长,出现了 CERT Coordination Center(网址:http://www.cert.org/),通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。
1990 年,网上出现了病毒交流布告栏,成为病毒编写者合作和共享知识的平台。此外,还出版了第一本关于病毒编写的书籍,并且开发出了第一个多态病毒(通常称为 Chameleon 或 Casper)。多态病毒是一种恶意软件,它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力,这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久,即出现了 Tequila 病毒,这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年,出现了第一个多态病毒引擎和病毒编写工具包。
自那时起,病毒就变得越来越复杂:病毒开始访问电子邮件通讯簿,并将其自身发送到联系人;宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件;此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门(由恶意软件引入的秘密或隐藏的网络入口点)使得病毒编写者(或黑客)可以返回和运行他们所选择的任何软件。本指南上下文中的黑客是试图非法访问计算机系统或网络的程序员和计算机用户。本章的下一部分将详细讨论恶意软件。
有些病毒附带其自身的嵌入式电子邮件引擎,可以使已感染的系统直接通过电子邮件传播病毒,而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程,来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任,使其打开附加的病毒文件,来显著地增加大规模感染的可能性。
恶意软件演变的同时,防病毒软件也处在不断的发展之中。但是,当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间,仍然存在存活机会。因此,现在发布的许多病毒在最初的数天内感染速度极快,之后一旦分发了应对病毒的签名文件,感染速度则迅速降低。
什么是恶意软件?
本指南将术语"恶意软件"用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
那么,计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛伊木马有效,还是仅对病毒有效?
所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。现有恶意代码的数目和种类繁多,因此很难为每个恶意代码类别提供一个准确的定义。
对于笼统的防病毒讨论,可使用以下简单的恶意软件类别定义:
•特洛伊木马。该程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。
•蠕虫。蠕虫使用自行传播的恶意代码,它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作,例如,消耗网络或本地系统资源,这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播,而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制,蠕虫也可能传递负载。
•病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序,以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。病毒
对于本指南的用途而言,负载是一个集合术语,表示恶意软件攻击在已感染计算机上执行的操作。各种恶意软件类别的上述定义使得可以通过一个简单的流程图来说明这些类别之间的不同之处。下图说明了可用来确定程序或脚本是否属于这些类别的元素:
图 2.1 恶意代码决策树
通过此图,可以区分对于本指南用途而言的每种常见恶意代码类别。但是,了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。这些类型的攻击(称作混合威胁,包含使用多种攻击方法的多个恶意软件类型)会以极快的速度传播。攻击方法是恶意软件可用于发起攻击的例程。由于这些原因,混合威胁特别难以应对。
以下部分对每种恶意软件类别进行了更为详细的解释,以帮助说明每种类别的一些主要元素。
特洛伊木马
特洛伊木马不被认为是计算机病毒或蠕虫,因为它不自行传播。但是,病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上,此过程称为"发送"。特洛伊木马的通常意图是中断用户的工作或系统的正常运行。例如,特洛伊木马可能在系统中提供后门,使黑客可以窃取数据或更改配置设置。
在提及特洛伊木马或特洛伊类型活动时,还有两个经常使用的术语,其识别方法和解释如下:
•远程访问特洛伊。某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统。此类程序称为"远程访问特洛伊"(RAT) 或后门。RAT 的示例包括 Back Orifice、Cafeene 和 SubSeven。
有关此类特洛伊木马的详细说明,请参阅 Microsoft TechNet 网站上的文章"Danger:Remote Access Trojans",网址为 http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx(英文)。
• Rootkit。Rootkit 是软件程序集,黑客可用来获取计算机的未经授权的远程访问权限,并发动其他攻击。这些程序可能使用许多不同的技术,包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门,以及对网络上的其他计算机发起攻击。Rootkit 通常被组织到一组工具中,这些工具被细化为专门针对特定的操作系统。第一批 Rootkit 是在 20 世纪 90 年代被识别出来的,当时 Sun 和 Linux 操作系统是它们的主要攻击对象。目前,Rootkit 可用于许多操作系统,其中包括 Microsoft? Windows? 平台。
注意:请注意,RAT 和某些包含 Rootkit 的工具具有合法的远程控制和监视使用。但是,这些工具引入的安全性和保密性问题给使用它们的环境带来了整体风险。
蠕虫
如果恶意代码进行复制,则它不是特洛伊木马,因此为了更精确地定义恶意软件而要涉及到的下一个问题是:"代码是否可在没有携带者的情况下进行复制?"即,它是否可以在无须感染可执行文件的情况下进行复制?如果此问题的答案为"是",则此代码被认为是某种类型的蠕虫。
大多数蠕虫试图将其自身复制到宿主计算机上,然后使用此计算机的通信通道来进行复制。例如,Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统,然后使用已感染系统的网络连接来试图进行复制。如果已安装最新的安全更新(来停止感染),或已在环境中启用防火墙来阻止蠕虫所用的网络端口(来停止复制),则攻击将会失败。
病毒
如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制,则认为它是病毒。此副本可以是原始病毒的直接副本,也可以是原始病毒的修改版本。有关详细信息,请参阅本章后面的"防护机制"部分。正如前面所提及的,病毒通常会将其包含的负载(例如,特洛伊木马)放置在一个本地计算机上,然后执行一个或多个恶意操作(例如,删除用户数据)。但是,仅进行复制且不具有负载的病毒仍是恶意软件问题,因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。
恶意软件的特征
每类恶意软件可以表现出来的各种特征通常非常类似。例如,病毒和蠕虫可能都会使用网络作为传输机制。然而,病毒会寻找文件以进行感染,而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。
目标环境
恶意软件试图攻击宿主系统时,可能需要许多特定的组件,攻击才能成功。下面是一个典型示例,说明恶意软件在攻击宿主系统时所需的组件:
•设备。某些恶意软件将一种设备类型作为专门的攻击目标,例如,个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA),但是请注意,PDA 恶意软件目前非常少见。
•操作系统。恶意软件可能需要特殊的操作系统才会有效。例如,20 世纪 90 年代后期出现的 CIH 或 Chernobyl 病毒仅攻击运行 Microsoft Windows? 95 或 Windows? 98 的计算机。
•应用程序。恶意软件可能需要在目标计算机上安装特定的应用程序,才能传递负载或进行复制。例如,2002 出现的 LFM.926 病毒仅在 Shockwave Flash (.swf) 文件可在本地计算机上执行时才能进行攻击。
携带者对象
如果恶意软件是病毒,它会试图将携带者对象作为攻击对象(也称为宿主)并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同,以下列表提供了最常用的目标携带者的示例:
•可执行文件。这是通过将其自身附加到宿主程序进行复制的"典型"病毒类型的目标对象。除了使用 .exe 扩展名的典型可执行文件之外,具有以下扩展名的文件也可用作此用途:.com、.sys、.dll、.ovl、.ocx 和 .prg。
•脚本。将脚本用作携带者目标文件的攻击,这些文件使用诸如 Microsoft Visual Basic? Script、JavaScript、AppleScript 或 Perl Script 之类的脚本语言。此类文件的扩展名包括:.vbs、.js、.wsh 和 .prl。
•宏。这些携带者是支持特定应用程序(例如,字处理器、电子表格或数据库应用程序)的宏脚本语言的文件。例如,病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏语言来生成许多效果,从恶作剧效果(在文档四处改变单词或更改颜色)到恶意效果(格式化计算机的硬盘驱动器)。
•启动扇区。计算机磁盘(硬盘和可启动的可移动媒体)上的特定区域(例如,主启动记录 (MBR) 或 DOS 启动记录)也可被认为是携带者,因为它们可以执行恶意代码。当某个磁盘被感染时,如果使用该磁盘来启动其他计算机系统,将会复制病毒。
注意:如果病毒同时将文件和启动扇区作为感染目标,可称其为"多部分"病毒。
传输机制
攻击可以使用一个或多个不同方法,在计算机系统之间尝试并复制。本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。
•可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文件传输。此机制开始于软盘,然后移动到网络,目前正在寻找新的媒体,例如,通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的恶意软件那样快,但安全威胁却始终存在,而且难以完全消除,因为系统之间需要交换数据。
•网络共享一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机制,而此机制所具有的潜力可能会超出可移动媒体的能力,从而可以传播恶意代码。由于在网络共享上实现的安全性级别很低,因此会产生这样一种环境,其中恶意软件可以复制到大量与网络连接的计算机上。这在很大程度上替代了使用可移动媒体的手动方法。
•网络扫描。恶意软件的编写者使用此机制来扫描网络,以查找容易入侵的计算机,或随意攻击 IP 地址。例如,此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址,以查找容易入侵的计算机进行攻击。
•对等 (P2P) 网络。要实现 P2P 文件传输,用户必须先安装 P2P 应用程序的客户端组件,该应用程序将使用一个可以通过组织防火墙的网络端口,例如,端口 80。应用程序使用此端口通过防火墙,并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取,并且恶意软件编写者可以直接使用它们提供的传输机制,将受感染的文件传播到客户端硬盘上。
•电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人,而恶意软件作恶者又无须留下自己的计算机,这使得电子邮件成为一种非常有效的传输方式。使用此方式哄骗用户打开电子邮件附件要相对容易一些(使用社会工程技术)。因而,许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。有两种使用电子邮件作为传输机制的基本类型的恶意软件:
•邮件程序。这种类型的恶意软件通过使用宿主上安装的邮件软件(例如,Microsoft Outlook? Express),或使用其自身的内置简单邮件传输协议 (SMTP) 引擎,将其自身作为邮件发送到限定数量的电子邮件地址。
•大量邮件程序。这种类型的恶意软件使用宿主上安装的邮件软件或其自身的内置 SMTP 引擎,在受感染的计算机上搜索电子邮件地址,然后将其自身作为邮件大量发送到这些地址。
•远程利用。恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。此行为通常可以在蠕虫中见到;例如, Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。此蠕虫生成了一个缓冲区溢出,允许一部分系统内存被可在和 SQL Server 服务相同的安全上下文中运行的代码覆盖。缓冲区溢出这种情况的出现,是因为向缓冲区添加的信息多于其可以存储的信息量。攻击者可能会利用此漏洞来占用系统。Microsoft 在 Slammer 发布的数月之前即识别并修复了此漏洞,但是由于有少数系统未被更新,使得此蠕虫得以传播。
负载
一旦恶意软件通过传输到达了宿主计算机,它通常会执行一个称为"负载"的操作,负载可以采用许多形式。在本部分中识别的某些常见负载类型包括:
•后门。这种类型的负载允许对计算机进行未经授权的访问。它可能提供完全访问权限,但也可能仅限于某些访问权限,例如,通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet,黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。正如前面所述,后门有时也称为"远程访问特洛伊"。
•数据损坏或删除。一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码,它可以使用户计算机上的信息变得无用。此处恶意软件编写者具有两个选项:第一个选项是将负载设计为快速执行。尽管对于它所感染的计算机而言极具潜在破坏性,但是此恶意软件的设计会导致其很快被发现,从而减少了其复制操作不被发现的可能性。另一个选项是将负载在本地系统上(以特洛伊木马的形式)保留一段时间(有关其示例的信息,请参阅本章后面的"触发机制"部分),这样会使恶意软件在尝试传递负载之前进行传播,从而使用户警觉到它的存在。
•信息窃取。一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载。如果负载会损害宿主计算机的安全,则它可能会提供一种将信息传回恶意软件作恶者的机制。这种情况可以多种形式发生;例如,传输可以自动进行,从而使恶意软件可以很容易地获取本地文件或信息,例如,用户所按的键(以便获取用户名和密码)。另一种机制是在本地宿主上提供一种环境,使攻击者可以远程控制该宿主,或直接获取对系统上文件的访问权限。
•拒绝服务 (DoS)。可以传递的一种最简单的负载类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击,它使网络服务超负荷或停止网络服务,如 Web 服务器或文件服务器。DoS 攻击的唯一目的是使特定服务在一段时间内不可用。
•分布式拒绝服务 (DDoS)。这种类型的攻击一般使用已感染的客户端,而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击,其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生的语义根据攻击的不同而不尽相同,但是它们通常都涉及将大量数据发送到特定的宿主或网站,使其停止对合法通信的响应(或者无法响应)。这样会完全占用受害站点的可用带宽,并且会有效地使此站点脱机。
这种类型的攻击极难进行防护,因为应为此类攻击负责的宿主实际上其自身已成为不知情的受害者。DDoS 攻击通常由 bots(执行重复任务的程序)执行(例如,Internet 中继聊天 (IRC) Eggdrop bots),黑客可以使用 bots 通过 RC 通道来控制"受害"计算机。一旦这些计算机处于黑客的控制之中,它们就会成为"僵尸进程",并会在接到攻击者的命令之后影响目标,而计算机的所有者对此不会有任何察觉。
DoS 和 DDoS 方法都涉及到了许多不同的攻击技术,包括:
•系统关闭。如果恶意软件可以关闭宿主系统或使其崩溃,则它可以成功地中断一项或多项服务。攻击宿主系统需要恶意软件找到应用程序的漏洞,或可以导致系统关闭的操作系统。
•带宽充满。提供给 Internet 的大多数服务都通过带宽有限的网络连接进行链接,而网络又将它们连接到客户端。如果恶意软件编写者传递的负载使用虚假的网络通信填满带宽,则仅通过阻止客户端使其无法直接连接到服务即可生成 DoS。
•网络 DoS。这种类型的负载试图使本地宿主可用的资源超负载。诸如微处理器和内存能力的资源因 SYN洪水攻击而溢出;在此类攻击中,攻击者使用某个程序发送大量的 TCP SYN 请求,以填满服务器上挂起的连接队列,并拒绝来自宿主的合法网络通信和到宿主的合法网络通信。电子邮件炸弹攻击也通过填满存资源来创建 DoS 攻击;在这种攻击中,过分庞大的电子邮件数据会发送到电子邮件地址,并试图中断电子邮件程序或使接收者无法再收到合法的信息。
•服务中断。这种类型的负载也会导致 DoS。例如,如果域名系统 (DNS) 服务器上的攻击禁用了 DNS 服务,则此 DoS 攻击技术已经实现。但是,系统上的所有其他服务可能仍保持未感染状态。
触发机制
触发机制是恶意软件的一个特征,恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容:
•手动执行。这种类型的触发机制只是执行由受害者直接执行的恶意软件。
•社会工程。恶意软件通常使用某种形式的社会工程,来欺骗受害者手动执行恶意代码。这种方法可能相对简单,例如在大量邮件蠕虫中使用的那些方法,其中社会工程元素主要在电子邮件的主题字段中选择最有可能使受害者打开邮件的文本。恶意软件编写者也可能使用电子邮件欺骗,以试图欺骗受害者并使其相信电子邮件来自可信源。欺骗是模拟网站或数据传输的行为,以使其看起来可信。例如,最早出现在 2003 年的原始 Dumaru 蠕虫修改了电子邮件的"收件人:"字段,使其错误地声称自己来自于security@microsoft.com。(有关此特征的详细信息,请参阅本章中下一部分中的"恶作剧")。
•半自动执行。这种类型的触发机制最初由受害者启动,之后则自动执行。
•自动执行。这种类型的触发机制根本无须手动执行。恶意软件执行攻击,而无须受害者运行目标计算机上的任何恶意代码。
•定时炸弹。这种类型的触发机制在一段时间之后执行操作。这段时间可能是自第一次执行感染或某个预先规定日期或日期范围之后的一段时间延迟。例如,MyDoom.B 蠕虫将仅在 2004 年 2 月 3 日对于 Microsoft.com 网站启动其负载例程,并仅在 2004 年 2 月 1 日对 SCO Group 网站启动其负载例程。然后,此蠕虫会在 2004 年 3 月 1 日停止所有复制,尽管此定时炸弹的后门组件在此时间之后仍处于激活状态。
•条件。这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载。例如,一个重命名的文件、一组击键或一个启动的应用程序。使用此类触发器的恶意软件有时称为"逻辑炸弹"。
防护机制
许多恶意软件示例使用某种类型的防护机制,来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例: