黑客7大惯用攻击策略

数百万的恶意软件到处游荡,成千上万的黑客四处横行,肆意寻找那些容易受骗的对象。其实这些年来黑客的惯用策略几乎一成不变,一直在利用那些懒得去判断亦或几近白痴的上网行为。

但是反恶意软件研究人员每年都能碰上一些让人惊讶的新技术,恶意软件或黑客利用这些技术拓展袭击边界。这些新技术是种不寻常的创举,就像一些创新,尽管最后被发现只是利用简易技术而已。

比如1990年微软电子表格宏病毒,悄无声息又肆意妄为地把表格中的数字0替代为大写字母O,所有的数字都变为无数值的文字符号,大部分都是直到备份系统发现遭破坏的数据后才发现被黑。

如今一些最新颖的恶意软件和黑客仍旧了无声息、肆意纵容。作为有些经验的安全研究员,我列举了一些他们最近在用的策略,有的是基于以往的黑客技术做的创新,但都是时兴伎俩,甚至能够袭击顶级用户。

1、虚假无线接入(WAP)策略

虚假WAP比其他任何技术都更容易完成攻击。任何人,简单用一种软件或无线网卡,就能将自己的电脑渲染为可用的WAP,从而链接到本地真实又合法的公共WAP。

设想一下,你或者你的用户去咖啡厅,机场或公共场所,链接免费WIFI,而像星巴克的黑客会把自己的虚假WAP命名为“星巴克WIFI”,亚特兰大机场的黑客把自己的虚假WAP命名为“亚特兰大机场免费WIFI”,数分钟内就有各种各样的人接入他们的电脑,他们就能从受害者和远端主机之间的数据流中截获那些不受保护的数据,你会惊讶于到底会有多少以明文发送的数据,包括密码。

有些邪恶点的黑客会让受害者建立新帐户接入他们的WAP,这些用户很有可能用他们常用的登录名或者邮箱以及常用密码,黑客就能用这些信息登录一些常用网站比如Facebook, Twitter,Amazon, iTunes等等,受害者毫无察觉。

经验:不能相信公共WAP,使用WIFI时要防止机密信息泄漏,可考虑用VPN;公共站点和私人站点间不要使用相同密码。

2、窃取Cookie策略

浏览器Cookie在用户浏览网站时保存他们的浏览“状态”(state),是个了不起的发明。

浏览过的网站会给电脑发送小文本,帮助网站或者服务器追踪访问偏好等,方便后续相关访问,比如购买牛仔裤。但是Cookie会同时带来哪些问题呢?

答案是:黑客会截取我们的Cookie,就像是已给网站提供有效的登录名和密码,让网站把黑客视为我们本身。这种方式如今愈发常见。
诚然,自有网络起就有了Cookie窃取,但如今的一些工具让窃取更为简单,有些点击空格即可。例如火狐浏览器(Firefox)的插件Firesheep就可以截取不受保护的Cookie,在虚假的WAP或者共享的公共网络,Cookie截取会异常成功。Firesheep会显示其所截获的Cookie名称和位置,只要简单的点击鼠标,黑客便可获取Session(可访问Codebutler博文参考“如何简易使用Firesheep”)
更糟的是,如今黑客可以轻松窃取并发现受SSL/TLS保护的Cookie。2011年9月,一个被发明者命名为Beast的黑客袭击证明可以获取受SSL/TLS保护的Cookie;今年,得到改进后的技术包括著名的CRIME使窃取和重新使用加密Cookie更为简单。

网站和应用开发人员从已发布的Cookie袭击中认识到该如何保护自己的用户,有时是通过使用最新的加密技术,有时是通过摒弃不常使用的特征。关键是网站开发人员必须采用安全的开发技术以降低Cookie被窃取的可能。如果你的网站多年未更新加密保护,就很可能处于危险之中。

经验:加密Cookie也会被窃取。只访问那些使用安全开发技术和最新加密技术的网站,你的HTTPS网站也应该使用最新加密技术,包括TLS 1.2版本。

3、文件名欺骗策略

自恶意软件发明以来,黑客就用文件名诡计让我们运行恶意代码,早期例子如把文件命名为吸引人点击的名称,如AnnaKournikovaNudePics,或者带多个文件扩展名,如AnnaKournikovaNudePics.Zip.exe。如今微软Windows系统或其他操作系统将一些用户“熟知”的文件扩展名隐藏,所以AnnaKournikovaNudePics.Gif.Exe就会显示为AnnaKournikovaNudePics.Gif。
几年前,恶意病毒程序如twins, spawners或companion viruses是倚赖微软Windows/DOS的一些鲜见特征,比如即使只是输入文件名Start.exe,Windows会搜索并运行Start.com. Companion病毒会在你的硬盘寻找所有exe文件,并产生与其同样名称的病毒,只是后缀为.com。这些问题虽早已被微软修复,但黑客也在那时就为今天的病毒衍变埋下基础。

如今黑客使用的文件重命名技俩愈发复杂,比较典型的列子是使用Unicode字符来改变文件名呈现,如Unicode字符(U+202E),即Right to Left Override,可以骗过很多系统,把一个实际名为AnnaKournikovaNudeavi.exe的文件伪装为AnnaKournikovaNudexe.avi。

经验:如果可能,在运行文件前确认好其真实完整名称。

4、路径策略

另一个有趣的隐藏策略即是被称为“相对路径VS绝对路径”(relativeversus absolute)的文件路径策略,能在操作系统内自我打架。在Windows的早期系统(Windows XP,2003和更早系统)和其他早期操作系统中,如果你键入一个文件名点击回车,操作系统可能会自动帮你寻找文件,往往从当前文件夹或者相对路径开始,我们以为这种方式可能高效无害,但黑客或恶意软件却加以利用。

比如,你要运行Windows附带且无害的计算器calc.exe,很简单,就是在运行行输入calc.exe点击回车。但恶意软件会生成一个叫calc.exe的恶意文件并隐藏在当前文件夹或主文件夹中,当你要运行calc.exe时,却反而可能运行到该伪装的文件。

黑客将此称为入侵尝试(Penetration Tester)。当他们侵入电脑,需要提升至管理员权限时,会将一个已知且相对较易攻击的未打补丁软件置于临时文件夹中。多数情况下需要做的只是置入一个易受攻击的执行文件或者DLL文件,不去管之前已打好补丁的整个安装程序。他们只需在临时文件夹中输入执行文件名,Windows便加载该较易受攻击的Trojan执行文件,而不是之前已打好补丁的程序。所以,黑客用一个简单的不良文件就可以对付整个打好补丁的系统。

Linux,Unix 以及BSD系统已在十年前修复该问题,微软Windows Vista/2008也在2006年发布时解决,由于反向兼容性问题,Windows早期版本仍未得以修复。微软多年来都在警告并教导开发人员在应用程序中使用绝对路径而非相对路径。但仍有成千上万的Windows早期程序易受该策略攻击。黑客比任何人都熟知这一情况。

经验:使用执行绝对目录路径或文件夹路径的操作系统;事先在默认的系统区域中查找文件。

5、Hosts文件易向策略

DNS相关的Hosts文件常不为电脑用户所知,该文件位于Windows系统C:\Windows\System32\Drivers\Etc中,用于将一些常用的网址域名与其对应的IP地址建立一个关联数据库。DNS用该Hosts文件进行主机的“域名-IP地址”数据库查找(name-to-IP address),无须与DNS服务器通信执行递归域名解析;如果没有找到,则系统会再将网址域名提交DNS域名解析服务器进行IP地址的解析。对多数人而言,DNS功能是不错,但不会涉及该Hosts文件的使用。

黑客和恶意软件喜欢将恶意条目置入Hosts文件,当用户输入常见的域名,如bing.com,便会导向其他恶意网站,这些恶意网站常常是原目标网站的完美复制版,用户根本毫不知觉。

该策略如今仍被黑客广泛使用。

经验:如果不能确定是否或为何被导向恶意网站,核实你的Hosts文件。

6、“水坑式”袭击策略

“水坑式”袭击得名于其独特方式。受攻击者常在特定的地理区域或虚拟区域工作,黑客便利用该特点对他们做位置性破坏,完成恶意攻击。

举例说,多数大公司都有自己的咖啡厅,酒吧或餐厅,员工都会光顾。黑客便在该区域制造虚假WAP,或者恶意篡改该公司常访问的网站,以截取公司重要信息。这些地方的受害者常常放松警惕,以为这些都是公共或社会端口。

“水坑式”袭击今年名声鼎沸,因一些著名高科技公司包括苹果,Facebook,微软等皆受不同程度攻击。黑客对这些公司开发人员常访问的网站做了JavaScrip恶意易向,由此侵入这些开发人员的电脑安装恶意软件(有时零时差),并以此为跳板侵入这些公司的内部网络截取信息。

经验:确保让你的员工意识到那些流行“水坑”普遍是黑客的袭击目标。

7、诱导跳转策略

黑客正在使用的最有趣的技术之一叫诱导跳转技术。受害者在正常下载或运行软件时,会突然跳转出一个恶意项目。这种例子举不胜举。

恶意软件传播者常会在流行网站购买广告区域。在审核时,广告常显示为良性链接或内容,于是广告提供者便审核通过并收取费用。但这些坏家伙随后就把该链接或内容转换为恶意信息。而当与该广告提供者相匹配的IP地址访问广告时,黑客又会重新编码将他们的访问重新导到原良性链接或内容。而这需要快速侦查与拆解能力。

最近见过的最有趣的诱导-跳转攻击就是那些标榜可以免费下载使用的内容(比如管理控制台或网页底部的访客控制器)。通常这些免费程序或项目都附带这样的许可条款:保留原始链接便可重复免费使用。用户会单纯的认为这很正常,下载后一直保留原链接,原链接通常也就是些图形或无关紧要的信息。而当那些伪装其中的元素被带入到成千上万个网站后,恶意开发者便把原内容置换成恶意信息(如恶意的JavaScript易向)。

经验:提防那些不受你控制的内容,他们会在你不经意间随时跳转为任何信息。

黑客袭击后果:完全失去控制

自恶意软件诞生起,黑客就隐藏其恶意,逃避检测。1986年的IBM PC机兼容机病毒,即Pakistani Brain病毒在接受磁盘编辑器检测时,会将检测重新导向到未经改变的引导扇区。

当黑客悄悄地修改你的系统,这个系统就不属于你,而是属于黑客。防止黑客悄然袭击的唯一方法就是:打好补丁,不要运行不信任程序,等等。但当你怀疑是否已遭受袭击时,你的检测可能又会进一步被更新颖的恶意软件包围。你总是想要干净的系统,但事实上你的系统可能都已被诡计多端的黑客控制。

2016012801

本文由程序猿编译团队-薇WEI 编译
原文来自:http://www.pcworld.com/article/2052601/7-top-tactics-of-hack-attacks.html

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址