随着病毒、蠕虫、木马、后门和混合威胁的泛滥,当前针对新漏洞的攻击产生速度比以前要快得多,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击往往伪装为合法应用程序和邮件信息,设计为欺骗用户暴露敏感信息、下载和安装恶意程序,传统的安全设备很难加以阻挡,往往需要先进的检测和安全技术。本文着重介绍灰色软件的特征和防护方法。
一、什么是灰色软件 灰色软件是一个概括性词汇,它是指安装在计算机上跟踪或向某目标汇报特定信息的一类软件。这些软件通常是在没有得到允许的情况下安装和执行的。很多灰色软件是在需要下载和运行应用时,就能悄然地完成工作,比如跟踪计算机使用,窃取隐私等。在大量的邮件病毒成为每月新闻头条的时候,用户可能会意识到如果打开不确定的邮件会带来什么风险。但是对于灰色软件,用户根本就不需要打开附件或执行被感染的程序,仅仅访问使用该技术的网站,就会变成灰色软件的牺牲品。很多灰色软件只产生垃圾信息,比如说弹出式窗口。诚然,在“无害”的灰色软件和盗取信用卡账号、密码和身份证号这些有价值信息的攻击之间,还是有着明确的区分标准的。
灰色软件常常来源于以下行为:(1)下载共享软件,免费软件或其他形式共享文件;(2)打开被感染过的邮件;(3)点击弹出广告;(4)访问不负责任或欺骗网站;(5)安装木马程序。
灰色软件不一定是恶意软件。很多灰色软件的最终目标是跟踪网站访问者来获得搜索结果,以达到某个商业目的。灰色软件的典型症状是系统缓慢、弹出广告、主页定向到别的网站等,从而造成骚扰。不过,黑客常会把灰色软件技术用作其他目的,例如利用浏览器来加载和运行某些程序。这些程序可以公开访问系统,收集信息,跟踪键盘输入,修改设置,或者制造某些破坏。
灰色软件大体可以分为以下几类:
(1)广告软件
广告软件通常是嵌入到用户免费下载和安装的软件中。安装以后会不时地弹出浏览器窗口来传播广告, 干扰用户正常使用。
(2)间谍软件
间谍软件通常嵌入在免费软件中。它可以跟踪和分析用户的行为,比如说用户的浏览网页的习惯。跟踪信息会返回到编写人员的网站,在那里进行记录和分析。它会引起计算机性能的改变。
(3)拨号软件
拨号软件是控制计算机的Modem的灰色软件。这些程序通常是拨打长途电话或者呼叫昂贵的电话号码来为窃取者创收。
(4)玩笑软件
玩笑软件修改系统的设置,但是并不摧毁系统。例如将系统鼠标或者Windows背景图片加以修改,还有些游戏软件通常是开些小玩笑或者恶作剧。
(5)点对点软件
点对点软件(P2P)可以完成文件交换。用它完成商业目标也许是合法的,而用它来交换非法音乐、电影和其他文件的时候,往往是非法的。
(6)键盘记录软件
键盘记录也许是最危险的灰色软件之一。这些程序可以捕捉键盘的输入,由此获得用户名和密码、信用卡号,用于Email、聊天、即时通讯等。
(7)劫持者软件
它可以修改浏览器的一些设置,来改变用户的爱好,如首页、收藏夹或菜单等。甚至可以修改DNS设置,将DNS重定向到恶意DNS服务器。
(8)插件
插件向已有程序添加代码或新功能,来控制、记录和发送浏览的喜好或其他信息会,发送给外部地址。
(9)网络管理软件
它是出于恶意目的设计的灰色软件,可以改变网络设置,毁坏网络安全,或者造成其他网络破坏。远程管理工具是让外部用户来远程控制,改变和监视网络中的计算机。
(10)BHO
BHO是作为普通软件的DLL文件安装的,可以控制Internet Explorer的行为。并不是所有的BHO都是恶意的,但是它有跟踪浏览偏好和收集其他信息的功能。
(11)工具栏
它可以修改计算机的工具栏特性,可以监视浏览网页的习惯,发送信息给开发者,或者改变主机的功能。
(12)下载灰色软件
它在用户不知情的情况下偷偷地下载和安装其他的软件。这些程序通常是在启动过程中运行,可以安装广告软件,拨号软件和其他恶意代码。
二、灰色软件的症状 灰色软件的症状表现为以下几个方面:
(1)性能下降。通常情况下,灰色软件的进程是用户所不知道的。它占用很多CPU和内存的资源,导致速度下降。打开任务管理器查看消耗资源的进程,一般就可以识别出灰色软件。
(2)即使在没有执行任何在线程序,Cable或DSL的Modem的收发数据的灯,或者任务栏中网卡或Modem的图标,还在不停地闪,它表示数据正在传输。
(3)在没有连接Internet,或没有运行浏览器的情况下,计算机仍会弹出信息窗口和广告。
(4)浏览器的主页在没有察觉的情况下,从缺省变成了其他页面,修改也不起作用。
(5)Internet Explorer的搜索引擎被修改,搜索结果总是指向一个未指定的搜索网址。
(6)Web浏览器的收藏夹被修改,不能将其改回去,或者不能删除新增加的条目。
(7)搜索或者Web浏览器的工具栏被修改,新选项被安装,而且这些工具栏不能被删除。
(8)防病毒程序、反灰色软件程序被强制停止工作,流行安全软件被关闭。应用程序运行时警告丢失文件,即使把文件覆盖回去也不起作用。在安装前可以关闭流行安全软件。
三、灰色软件的防护方法 1、用户教育 用户教育最基本的方法是让用户了解灰色软件的特点和危害性,禁止下载和安装来路不明的软件。或在允许下载和安装未知的程序之前,仔细阅读“最终用户许可证”。有恶意倾向的灰色软件和木马程序通常试图隐藏起来,防止被清除或隔离。减少感染机会的另一方法是提高Web浏览器的安全级别,配置象Outlook这样的邮件收发程序为不自动下载HTML邮件中的图片或其他内容,关闭自动预览,对所有的操作系统和应用软件都安装最新的补丁等。
2、安装反间谍软件程序 新型防灰色软件和计算机上的防病毒软件的功能类似,它们可以依据灰色软件的特征值数量和特征库检测、删除和冻结灰色软件。反灰色软件程序又分基于主机的客户端软件和基于网络的反灰色软件两类。 基于主机的客户端软件的成本在于安装和维护,包括在每台计算机上安装、定时升级软件和病毒库。由于采用许可证方式,整个企业部署的成本较高。
另外,很多木马和灰色软件在安装前会主动检测是否有这些防护软件,如果有的话就关闭掉,这样就可以避免被检测到。所以存在一定风险。
基于网络的反灰色软件是在企业网络连接到Internet的边界平台上,部署防灰色软件产品。在灰色软件进入网络前加以识别和清除,降低了安装、维护和保持更新的成本。网关得到升级,所有的防火墙后的计算机会自动地得到保护。
四、Fortinet的灰色软件解决方案 Fortinet公司的解决方案是同时部署网络和主机方式来应对灰色软件。在FortiGate网关平台上综合几个关键的安全要素,最大限度地减少了在大量节点上安装和维护灰色软件类安全产品所需的资源。在灰色程序进入到网络前就检测、删除和冻结掉,可以避免其在企业网络中传播和感染。由于各种安全功能是集中在硬件化的平台上,恶意程序就很难关闭掉它们。
另一方面,Fortinet的灰色软件防护系统采用特征值、启发式和异常检测等功能来检测网络中的病毒。管理员可以通过启动或关闭针对灰色软件某个类别(比如说间谍软件、广告软件和非法拨号等等)来定制扫描级别。
采用提供“动态攻击防御系统”安全特性,综合了防病毒、状态检测防火墙、入侵检测与阻断、虚拟专网(VPN)、Web过滤、垃圾邮件过滤、灰色软件检测与防御、带宽管理于一个平台。这种特性可以识别和阻止能够渗透传统防火墙、防病毒和入侵检测系统的新型混合式攻击。由于系统的体系结构在各个安全要素之间实现攻击信息共享和协调,所以效率较高。
随着攻击和漏洞数量的持续增长,需要保持操作系统的补丁、应用程序的补丁和防病毒特征值等等都得到最新的升级,这变得越来越重要而且越来越困难。通过Fortinet全球性安全响应中心的服务网络,用户可自动获得针对最新的攻击的升级。该网络对新攻击进行识别,提供新的特征值和防御方法。 |