一批在利益驱动下的黑客们开始成为安全威胁的主要制造者。他们非常现实,崇尚以技术换金钱,同时又小心翼翼地隐藏自己。这就决定了他们所研制的木马间谍软件有游击战的一些典型特点。
引:1928年5月毛泽东总结中国工农红军游击战初期的作战经验,提出了“敌进我退,敌驻我扰,敌疲我打,敌退我追”十六字诀,开始形成了著名的红军游击战的基本原则。毛泽东也因此被国内外的许多人尊为游击战的鼻祖。百度百科总结了游击战的一些基本特征:“遵循合理选择作战地点,快速部署兵力,合理分配兵力,合理选择作战时机,战斗结束迅速撤退五项基本原则的作战方式,叫做游击战。”
在安全领域里,自从1987年第一个病毒C-Brain出现,长久以来病毒的制作者(“黑客”)在大家的心目中是一些拥有高深技术而且喜欢恶作剧的愤青。他们的编写病毒的目的就是为了向网民展示他们的技术能力,或者是为了挑战那些号称软件帝国、100%杀毒或安全防护的公司,通过高深的技术攻击让其颜面扫地。然而,到了2006年,长江后浪推前浪,一批在利益驱动下的黑客们开始成为安全威胁的主要制造者。他们非常现实,崇尚以技术换金钱,同时又小心翼翼地隐藏自己。这就决定了他们所研制的木马间谍软件有游击战的一些典型特点:
合理选择作战地点,针对性强
合理选择作战地点,针对性强: 一个木马针对一种特定的人群或应用来传播,而且背后都存在着利益驱动的因素。典型的有专门针对网游、网银、QQ、MSN等病毒。他们一旦获得帐号密码,虚拟或现实的财产或个人私密信息、保密文件,网民们就面临严重的损失。
小范围传播,小规模袭扰
小范围传播、小规模袭扰:为了增加恶意软件的有效性,防止被安全厂商迅速发现,恶意软件的传播者开始通过缩小传播范围,扩大攻击次数的方式袭击各大杀毒软件。
变形技术较量杀毒厂商
批量制造、通过互联网快速部署、合理选择作战时机:加密、加壳等变形技术的日益普及使得恶意软件的批量制造恶意软件成为现实。网民们即便经常发生访问同一个网址,每次所感染的恶意软件可能都不相同。这是病毒反用毛泽东思想,制造病毒的汪洋大海,使得杀毒软件和杀毒厂商左支右绌,难以应付。
游击战术迅速撤退
战斗结束迅速撤退:病毒木马一般都有很短的有效期,而且基本都是一次性使用,属于见光死的类型。一旦某个病毒能被杀毒软件查杀,该病毒在黑市上的交易价立刻归零。
全球安全问题关注度首位的零日攻击(0day)就是一种典型的游击战术。“零日攻击”已给各种规模的组织带来极大的威胁。如今,那些受利益驱动的攻击者们正不断制造出各种专用且复杂的恶意软件,企图在特定应用软件未修复或者未发布的漏洞前利用这些漏洞。然而,值得大家深思的是:面对0day为首的游击份子,杀毒软件准备好了吗?
20多年来,传统的杀毒软件依赖于特征码才能对攻击起到保护作用,这让病毒木马的作者永远与安全公司在玩一场游击战。黑客们通过游击战术,散布修改过的没有包括在病毒定义文件里的木马程序,杀毒软件则对这些木马程序束手无策。面对这种游击战术,杀毒厂商已经不仅仅靠固守豪华的马奇诺防线,查杀XX万木马,每小时更新……
安全软件的免疫防御功能将有助于在有效的补丁发布前保护系统不受未知威胁的攻击,同时加上启发式与基于行为的病毒分析,最终或许能够结束这一场游击战。
现在大多数主流的杀毒软件已经都拥有一种防御或者同时拥有防御和病毒分析方式。
如国内的瑞星卡卡、瑞星个人防火墙使用的“木马指纹”技术,江民毒软件的实时监控,、“江民密保”功能,微点的主动防御功能;国际上的卡巴和360结合的防止流氓软件和病毒功能,趋势科技和墨者安全专家的“革离术”免疫防御和杀毒功能等等。杀毒软件厂家不约而同的都加强了自身的防御技能,是否能抵制游击战术我们将继续关注!