安全：揭密顶尖黑客的零时差攻击内幕

　　作者: 佚名, 　出处:计世网,　责任编辑: 郭秋爽,　 2008-06-04 10:06

　　现在，零时差攻击对于网上罪犯们的价值正在飞涨中，因为这种攻击可以侵入最新的、保护得当的系统。

　　在电脑安全方面你并不曾懈怠。你随时更新应用程序，确保它们都是最新的版本，你也安装了反病毒软件。你很在意你浏览的是什么样的网站，在电脑上安装的是什么样的软件。

　　但是去年九月，如果你访问过由HostGator(位于佛罗里达州的一家顶级主机托管商)托管的博客站点，你的浏览器就会立即被重定向到一个受病毒感染的网站，这利用的是一种古老的微软图形格式中存在的漏洞。

　　在几秒钟内，恶意软件就侵入了你的电脑。

　　遭遇到这一切，是因为你已经沦为零时差攻击的受害者——这种攻击往往针对某种软件的漏洞，当漏洞刚被发现不久，还没有任何补丁文件被发布并对已知问题进行修复时发起的攻击就叫做零时差攻击。这个术语最初用来描述那些 “非正式”(也就是在研究实验室外)发现的漏洞在补丁发布的当天就被利用来发起的恶意攻击，这使得IT专家们没有时间来堵上这个漏洞。

　　现在，零时差攻击对于网上罪犯们的价值正在飞涨中，因为这种攻击可以侵入最新的、保护得当的系统。例如，去年十月，趋势科技的首席技术官Raimund Genes在一个网络聊天室里注意到一条滚动出现的广告。一个黑客想出售测试版的Windows Vista里一个不为人知的漏洞，要价是令人瞠目的5万美元，虽然Genes无从得知是否有人购买了那些代码。

　　“现在有了不少有组织的地下机构，”McAfee公司的安全研究经理Dave Marcus说道，“网上罪犯们已经领会到他们能够靠恶意软件来发财了。”

　　有利可图的恶意软件

　　恶意软件可以是个“机器人程序”。例如，它能够让你的电脑传播垃圾邮件，或者加入到拒绝服务式攻击，把某个网站弄得崩溃而不能提供正常服务。“这比把一位老太太打倒在地，并抢走她的钱包要容易多了，”Marcus说，“这也是非常隐匿的，而且攻击者可以舒服地坐在星巴克里发动这一切，却不会被丝毫察觉。”

　　多亏改进后病毒扫描技术不再完全依赖病毒定义文件，McAfee出品的反病毒软件和其它安全软件在保护计算机免受未知威胁的攻击时变得更加出色了。此外许多新出现的免费与收费软件都提供了针对零时差攻击的主动性保护，并尽可能地限制攻击带来的损失与破坏。

　　Jeff Moss，每年一度的BlackHat安全大会的发起者，认为正确的安全设置能最大限度地保护你的电脑。但有目的的攻击有时能够突破重重防线。“你可以买一大堆防火墙、安全软件和其它东西，”他说，“但只要某个软件里存在着可以为零时差攻击利用的漏洞，那么再多的防护也是无济于事的。”

　　在补丁发布之前就发起攻击的各种程序里，最危险的是会偷偷地在后台下载恶意软件的那些。你只是很平常地浏览了某个被植入恶意代码的页面，或者是打开了一封受感染的HTML格式电子邮件，就会遭到入侵，你的电脑里会悄无声息地被塞入各种间谍软件，木马程序或者其它恶意软件。在2005年底到2006年底之间，网络罪犯们利用一种不常被人们使用的微软图片格式中的漏洞，发动了至少两起这样的零时差攻击，并感染了数百万台电脑。

　　在HostGator遭到入侵的案例中，被黑客所利用的是IE浏览器在处理矢量标记语言(VML)格式的图片时出现的漏洞，这个漏洞一直没有引起注意。VML是一种不常见的、用来创建3D图像的标准格式。

　　在九月份，Sunbelt Software公司发现了这种类型的攻击并向人们发出警告，它在俄罗斯的一家色情图片站点上发现了这个漏洞。漏洞本身就足够危险：如果你浏览过任何含有中毒图片的网站，你的电脑就会被植入恶意程序。而攻击者们清楚地知道如何让危害扩散得更大更广。

　　利用网站管理工具cPanel里的一种未知漏洞，攻击者们劫持了由HostGator托管的成千上万个网站。访问者浏览过这些完全合法却中了毒的网站后，会被重定向到一些恶意网站，这些网站会利用VML漏洞发起零时差攻击。

　　微软的产品，如IE浏览器、Office办公套件和Windows操作系统，是最常受到零时差攻击(和其它类型的攻击)的目标。部分原因是它们占据了大部分的软件领域。但是微软过去犯下的没能在产品开发时对安全性进行充分考虑的错误，也导致了它的软件产品成为普遍的(也是容易攻入的)攻击目标。然而，Vista在安全方面有了长足的进步，至少在现在看来是这样。

　　仅仅在2006年，就有四种直接或者间接针对IE 6浏览器的零时差攻击。首先出现的针对IE 6的持续不断的攻击利用了在2005年底发现的漏洞。这种漏洞存在于Windows图元文件格式(WMF)，当IE呈现WMF图片时就有可能受到攻击。

　　在针对WMF漏洞的攻击事件层出不穷并广为人知后，微软首先宣布随着正常的补丁发布周期，它将在数周后发布一个补丁来修复此漏洞 —— 但是由于攻击事件的不断出现和公众的反对声不断上涨，它最终不得不在一月初发布一个计划外的修复补丁。

　　然而补丁并没有让攻击停止，这表示出零时差攻击也可以有着很长的时间效应。与VML文件漏洞一样，WMF漏洞也会导致电脑被暗中植入恶意程序，这是网上罪犯们最喜欢的攻击方式之一，受害者无需点击受感染的图片就会中招。如果你通过Windows的自动升级功能打上了微软发布的补丁，那么你会没事。但是很明显，许多Windows用户并没有这样做。

　　去年七月份，通过一家为上千个网站服务的广告发行网络公司，一幅藏匿着有害代码、为Deckoutyourdeck.com网站做宣传的广告出现在MySpace和Webshots这样的知名网站里。藏匿在旗帜广告里的恶意程序会把木马下载到访问者的电脑里，它会带来广告软件和间谍软件。消息人士称——到补丁在七个月后终于发布时为止——一共有上百万人的电脑遭到入侵。

　　与针对IE浏览器发起的具有高危险性的零时差攻击不同，专门针对Word与其它Office软件的攻击不能通过下载来发起攻击。而主要依靠诱使受攻击者双击打开电子邮件附件——这通常用于有目的地攻击某家特定的公司，即使是再小心的用户也有可能不经意就双击打开了附件。

　　向目标企业的雇员发送假的(或者“欺骗性的”)邮件，把邮件伪装得看上去像是来自某个同事或者是该企业内的其它来源，黑客就有很大机会成功诱使收件人打开附件里的Word文档。而如果邮件看上去像是来自于某个不知详情的发件人，机会则小得多。

　　12月中旬，在公布Excel和PowerPoint等Office软件含有可能被黑客利用发起攻击的漏洞后，微软再次确认Word里有两个漏洞也可能被黑客利用，并发起“危害非常有限并且目的明确的攻击”。它向用户发出警告不仅仅要警惕陌生发件人邮件里附件，同时也要对来自熟悉发件人的、未经请求主动提供的附件保持足够的警觉。

　　微软的产品或许是最普遍的零时差攻击目标了，不过其它的常用软件也同样面临着受到攻击的危险。一月份研究人员公布了QuickTime播放程序里的一个漏洞，QuickTime在处理流媒体视频文件时可能让攻击者入侵并控制受害者的电脑。2006年11月份Adobe ActiveX浏览器控件的一个漏洞也会导致受害者电脑被黑客控制。

　　零时差攻击事件的涌现折射出每年公布的软件漏洞数目在不断地上升。据互联网安全机构Xforce所述，2006年软件开发者与研究人员发现了7247个软件漏洞，比起2005年多了整整39%。

　　但是，这些bug中的大多数不会被黑客利用并发起零时差攻击。软件公司经常收到用户反映的bug和程序崩溃的报告，并从中找到安全漏洞，然后在黑客利用这些漏洞发起攻击前就进行修复。如果其它安全专家发现了一个漏洞，他们(总之，大多数会是这样)会按照一套行业惯例——被称作“有道德地透露”——来处理，这套惯例是特别设计用来规避零时差攻击的。

　　在“有道德地透露”原则下，研究人员首先会与软件开发商联系并告知所发现的漏洞情况。开发商在补丁就绪前不会发布相关公告。最先发现漏洞且没有将其公布于众的研究人员会受到公司的信任。

　　但有时候研究人员对于软件开发商调查的进度过慢而感到不满，就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序，有些专家则谴责这种行为，认为这么做违背了行业惯例。

　　拥护这种行为的人们争辩说如果研究人员发现了漏洞，那么黑客们有可能也发现了。聪明的黑客会小范围、有目标地发起攻击，以避免引起生产商的注意而发布修补程序。不幸的是，大多数情况下，公布漏洞都会促成大规模的零时差攻击。