完全解析 零时差攻击的危险性及特征

　　Adam Shostack，微软安全开发生命周期小组的一位程序经理，说有时候更短的开发时限只会是设想，他提到微软用户构成的复杂性。

　　“我们必须测试安全升级程序以确保它能兼容于28种不同语言的操作系统，以及每一种支持这个升级程序的操作系统。”Shostack说。“我们真的是在质量与速度中做出取舍与平衡。”

　　安全软件有助于在有效的补丁发布前保护系统不受未知威胁的攻击，传统的反病毒软件依赖于病毒定义文件才能对攻击起到保护作用。这让恶意软件的作者永远与安全公司在玩一个猫和老鼠的游戏，黑客们散布修改过的，没有包括在病毒定义文件里的木马程序，反病毒软件则对这些木马程序束手无策。

　　启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏。这两种病毒分析方式依靠运算法则，而不是病毒定义文件，去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为，比如与内存有关的可疑行为。而另一方面，基于行为的病毒分析，观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件)，它鉴定程序是否有害是看它们做什么而不是包含什么。

　　现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年，PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。

　　不过启发式与基于行为的病毒分析容易引起误报。安全软件或许无法分辨出键盘记录程序与通过直接敲击键盘来减短响应时间的游戏之间的区别。结果就是，软件不停地跳出许多不必要的弹出式警告与操作询问，让用户烦恼不已。

　　BlackHat的Jeff Moss估计这两种病毒检测方式在五年内不会被单独应用，通过病毒定义文件来查毒目前依然是最可靠的。“它们的误报与漏报率太高了。每个人对于检测失误都有自己奇怪的解决方法，但只要他们试着进行部署，用户就会开始抱怨。”

　　其它解决方法

　　其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁，并限制着攻击者成功入侵后带来的伤害。有些(比如GreenBorder Pro)为常常成为攻击目标的软件，比如网络浏览器与电邮客户端，创建出一个“沙盒”，或者称虚拟的被隔绝的环境。举个例子来说，攻击者也许可以攻破IE浏览器，但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。

　　其它一些程序，除了创建虚拟环境以外，还修改用户帐号的权限，这样程序就无法对系统做出深层的改变。这类工具包括微软提供的免费的DropMyRights小程序。

　　还有些程序，如免费的VMWare 播放器，会安装一个单独的操作系统并拥有它自己的浏览器。被层层保护着的浏览器与你正常的电脑环境是完全隔离开的。

　　Windows Vista引入了一些新的安全特性，但没有人会认为软件漏洞或者零时差攻击会渐渐地销声匿迹。.遗憾的是，充斥着非法数据与垃圾邮件发送者名单的地下黑市将刺激网络罪犯们继续想方设法从恶意软件里获得利益。

　　然而，趋势科技全球教育主管David Perry对于未来的互联网安全状态还是维持乐观的态度。“我相信最终我们会让网络上的威胁只是件麻烦事而已，”，他说，“但在今年内还看不到事情的进展。”

　　零时差攻击正在进行时

　　去年九月SunbeltSoftware发现了利用矢量标记语言图像里的一个漏洞发起的攻击，这种图像格式已经比较少见，但Windows系统依然对其提供着支持。在一星期内，攻击者通过植入了病毒的图片感染了数千个网站，所有不幸查看了这些图片的用户都会被偷偷地装上恶意软件并受到攻击。

　　2006年9月18日，第一个VML攻击被俄罗斯的一家网站报道。

　　2006年9月19日，微软表示补丁将在10月10日推出。

　　2006年9月20日，赛门铁克公司宣布在东欧销售的一款开发工具包中发现了恶意代码。

　　2006年9月22日，零时差紧急响应小组发布了一个非官方的补丁。成千上万的合法的、但是被感染的HostGator托管网站让他们的网友感染了病毒。

　　2006年9月26日，微软提前时间表两周的时间发布了补丁。

　　2007年1月16日，iDefense公司证实一个相似的零时差攻击已经盯上了VML的另一个漏洞。

　　来自Doc文档的攻击

　　2006年5月21日，中国大陆及中国台湾省都发生了有明确目标的攻击事件，被黑客利用的是一个Microsoft Word bug(2006年公布的能发起零时差攻击的Office漏洞之一)，黑客们攻击了一家名称不详的公司。根据互联网风暴中心的消息，攻击者发送了伪装成发送自公司内部的邮件，毫无戒备之心的雇员打开了感染了病毒的附件。

　　Vista如何防范零时差攻击

　　Windows?Vista那些大受吹捧的新安全特性在保护你免受零时差攻击方面做得怎么样呢?比你想象的要好得多。

　　Vista主要的新特性就是用户帐户控制(UAC)，在Vista里改变了用户帐户的操作许可权限。为了方便起见——因为管理员权限在进行许多系统操作时都是必需的——几乎所有的家庭用户都在管理员帐户设置下运行Windows XP。但攻击者也会利用此设置的特权来修改系统，例如安装含有恶意软件的rootkit。

　　与从前不同的是，默认的Vista用户帐户拥有的权限不高也不低，既不是可以对系统做任何修改的管理员帐户，也不是运行起来处处受缚的guest帐户。微软尝试着让改变易于被人们接受，授予了标准帐户足够的权限来操作一些日常的系统任务，比如安装打印机的驱动程序。但已经有用户抱怨道需要不停地确认一个又一个索要管理员密码的UAC弹出提示框。

　　同样，IE浏览器默认也是以受保护模式运行，此时只拥有最少的许可权限。这样的改变限制了一些零时差攻击劫持你的IE浏览器(比如利用WMF或者VML漏洞)，并对电脑造成太大的破坏。

　　最后一点，Vista与Windows Defender是捆绑发行的，后者可以阻止试图向启动文件夹添加自启动项的恶意软件——比如，把自己伪装成反间谍软件等。Vista同时还会随机改变内存库与程序载入的位置，这样恶意软件在试图找出并更改系统重要进程时就会扑了个空。

　　遭到入侵的Myspace

　　2005年9月28日，与后来出现的VML攻击类似的，微软几乎很少被使用到的Windows图元文件格式里发现了一个漏洞，当用户浏览含有中毒图像的网页时，就会被植入恶意程序。微软在1月5日发布了一个补丁，但7月份一个含有恶意代码的旗帜广告感染了数百万尚未打上补丁的电脑，这些电脑访问了MySpace，Webshots和其一些它网站。

　　零时差攻击是发现软件漏洞后，在软件生产商尚没有发布修复补丁之前，利用漏洞发起的攻击。不过即使是在这段时间里，你也有办法保护你的系统安全而不会受到零时差攻击。

　　1. 停止使用IE 6。为了确保网上的安全，你首先应该停止使用微软声名狼籍、满是漏洞的IE 6浏览器。当然了，没有绝对安全的程序，但不管是因为它那些固有的漏洞还是因为巨大的用户群，IE 6都是一个易受攻击的目标。升级到IE 7或者选用其它浏览器比如Firefox或者Opera。

　　2. 对于某些已经成为零时差攻击目标的软件，你可以试试使用它们的替代软件。例如，用来查看PDF文档的免费Foxit程序，而OpenOffice能兼容许多Office文档。

　　3. 为Windows和其它程序启用自动更新功能。补丁并不能阻止零时差攻击的入侵，但大多数的漏洞在补丁发布后依然会是攻击目标，正因为攻击者知道许多人不会费心去打补丁。要检查和更改你的Windows系统的自动更新设置，在控制面板里点自动更新。我们推荐你选择“下载更新，但由我来决定什么时候安装”。

　　启动其它程序的自动更新设置则难易各有不同。以Firefox为例来说，选择工具 — 选项 — 高级，然后选择“升级”标签。(重申一次，我们推荐选择在Firefox发现更新后“询问我该做什么”)。要找到Adobe Reader里的升级设置，你可以从帮助菜单栏里进行手动更新，或者依次选择编辑 — 首选项，然后选中“启动”标签，在“显示消息和自动更新”前打上勾。

　　4. 考虑选择带有启发式查毒和/或基于行为分析病毒的反病毒软件或者安全套件来保护你的电脑，让它能自如地应对未知危险。拥有这两种病毒分析方式的程序是对传统反病毒软件的一个补充，传统的反病毒软件在能抵御某种威胁前必须对它比较清楚。

　　5.确保有一个防火墙——无论是Windows XP自带的，还是第三方的——运行在你的电脑上。防火墙能阻止蠕虫扫描你的电脑，寻找未打好补丁的漏洞，并试图入侵你的系统。要查看系统是否运行着Windows XP防火墙，进入控制面板，打开安全中心，点Windows 防火墙链接。大多数的宽带路由路也带有防火墙功能。

　　6. 使用防护软件做为反病毒软件或安全套件的有效补充，比如DropMyRights。越来越多的工具软件，既有免费的也有收费的，籍由改变易受攻击软件的运行方式来保护电脑的安全，这样即使受到了零时差攻击，也不会伤害甚至是传播到电脑的其它位置。

　　7. 时刻关注最新情况。为您传递最新的紧急威胁，还有各种安全知识与建议。其它有用的资源包括eEye 零时差攻击追踪网站(find.pcworld.com/56226)和Brian Krebs的安全修补博客。