无论你如何勤勉地修补系统和保护你的电脑,它仍然有可能在未曾预见到的攻击出现后的数个小时内中招。这篇文章将为您讲述零时差攻击的危险性以及它是如何利用安全漏洞的。
在电脑安全方面你并不曾懈怠。你随时更新应用程序,确保它们都是最新的版本,你也安装了反病毒软件。你很在意你浏览的是什么样的网站,在电脑上安装的是什么样的软件。
但是去年九月,如果你访问过由HostGator(位于佛罗里达州的一家顶级主机托管商)托管的博客站点,你的浏览器就会立即被重定向到一个受病毒感染的网站,这利用的是一种古老的微软图形格式中存在的漏洞。
在几秒钟内,恶意软件就侵入了你的电脑
遭遇到这一切,是因为你已经沦为零时差攻击的受害者——这种攻击往往针对某种软件的漏洞,当漏洞刚被发现不久,还没有任何补丁文件被发布并对已知问题进行修复时发起的攻击就叫做零时差攻击。这个术语最初用来描述那些 “非正式”(也就是在研究实验室外)发现的漏洞在补丁发布的当天就被利用来发起的恶意攻击,这使得IT专家们没有时间来堵上这个漏洞。
现在,零时差攻击对于网上罪犯们的价值正在飞涨中,因为这种攻击可以侵入最新的、保护得当的系统。例如,去年十月,趋势科技的首席技术官Raimund Genes在一个网络聊天室里注意到一条滚动出现的广告。一个黑客想出售测试版的Windows Vista里一个不为人知的漏洞,要价是令人瞠目的5万美元,虽然Genes无从得知是否有人购买了那些代码。
“现在有了不少有组织的地下机构,”McAfee公司的安全研究经理Dave Marcus说道,“网上罪犯们已经领会到他们能够靠恶意软件来发财了。”
有利可图的恶意软件
恶意软件可以是个“机器人程序”。例如,它能够让你的电脑传播垃圾邮件,或者加入到拒绝服务式攻击,把某个网站弄得崩溃而不能提供正常服务。“这比把一位老太太打倒在地,并抢走她的钱包要容易多了,”Marcus说,“这也是非常隐匿的,而且攻击者可以舒服地坐在星巴克里发动这一切,却不会被丝毫察觉。”
多亏改进后病毒扫描技术不再完全依赖病毒定义文件,McAfee出品的反病毒软件和其它安全软件在保护计算机免受未知威胁的攻击时变得更加出色了。此外许多新出现的免费与收费软件都提供了针对零时差攻击的主动性保护,并尽可能地限制攻击带来的损失与破坏。
Jeff Moss,每年一度的BlackHat安全大会的发起者,认为正确的安全设置能最大限度地保护你的电脑。但有目的的攻击有时能够突破重重防线。“你可以买一大堆防火墙、安全软件和其它东西,”他说,“但只要某个软件里存在着可以为零时差攻击利用的漏洞,那么再多的防护也是无济于事的。”
在补丁发布之前就发起攻击的各种程序里,最危险的是会偷偷地在后台下载恶意软件的那些。你只是很平常地浏览了某个被植入恶意代码的页面,或者是打开了一封受感染的HTML格式电子邮件,就会遭到入侵,你的电脑里会悄无声息地被塞入各种间谍软件,木马程序或者其它恶意软件。在2005年底到2006年底之间,网络罪犯们利用一种不常被人们使用的微软图片格式中的漏洞,发动了至少两起这样的零时差攻击,并感染了数百万台电脑。
在HostGator遭到入侵的案例中,被黑客所利用的是IE浏览器在处理矢量标记语言(VML)格式的图片时出现的漏洞,这个漏洞一直没有引起注意。VML是一种不常见的、用来创建3D图像的标准格式。
在九月份,Sunbelt Software公司发现了这种类型的攻击并向人们发出警告,它在俄罗斯的一家色情图片站点上发现了这个漏洞。漏洞本身就足够危险:如果你浏览过任何含有中毒图片的网站,你的电脑就会被植入恶意程序。而攻击者们清楚地知道如何让危害扩散得更大更广。
利用网站管理工具cPanel里的一种未知漏洞,攻击者们劫持了由HostGator托管的成千上万个网站。访问者浏览过这些完全合法却中了毒的网站后,会被重定向到一些恶意网站,这些网站会利用VML漏洞发起零时差攻击。
微软的产品,如IE浏览器、Office办公套件和Windows操作系统,是最常受到零时差攻击(和其它类型的攻击)的目标。部分原因是它们占据了大部分的软件领域。但是微软过去犯下的没能在产品开发时对安全性进行充分考虑的错误,也导致了它的软件产品成为普遍的(也是容易攻入的)攻击目标。然而,Vista在安全方面有了长足的进步,至少在现在看来是这样。
仅仅在2006年,就有四种直接或者间接针对IE 6浏览器的零时差攻击。首先出现的针对IE 6的持续不断的攻击利用了在2005年底发现的漏洞。这种漏洞存在于Windows图元文件格式(WMF),当IE呈现WMF图片时就有可能受到攻击。
在针对WMF漏洞的攻击事件层出不穷并广为人知后,微软首先宣布随着正常的补丁发布周期,它将在数周后发布一个补丁来修复此漏洞 —— 但是由于攻击事件的不断出现和公众的反对声不断上涨,它最终不得不在一月初发布一个计划外的修复补丁。
然而补丁并没有让攻击停止,这表示出零时差攻击也可以有着很长的时间效应。与VML文件漏洞一样,WMF漏洞也会导致电脑被暗中植入恶意程序,这是网上罪犯们最喜欢的攻击方式之一,受害者无需点击受感染的图片就会中招。如果你通过Windows的自动升级功能打上了微软发布的补丁,那么你会没事。但是很明显,许多Windows用户并没有这样做。
去年七月份,通过一家为上千个网站服务的广告发行网络公司,一幅藏匿着有害代码、为Deckoutyourdeck.com网站做宣传的广告出现在MySpace和Webshots这样的知名网站里。藏匿在旗帜广告里的恶意程序会把木马下载到访问者的电脑里,它会带来广告软件和间谍软件。消息人士称——到补丁在七个月后终于发布时为止——一共有上百万人的电脑遭到入侵。
与针对IE浏览器发起的具有高危险性的零时差攻击不同,专门针对Word与其它Office软件的攻击不能通过下载来发起攻击。而主要依靠诱使受攻击者双击打开电子邮件附件——这通常用于有目的地攻击某家特定的公司,即使是再小心的用户也有可能不经意就双击打开了附件。
向目标企业的雇员发送假的(或者“欺骗性的”)邮件,把邮件伪装得看上去像是来自某个同事或者是该企业内的其它来源,黑客就有很大机会成功诱使收件人打开附件里的Word文档。而如果邮件看上去像是来自于某个不知详情的发件人,机会则小得多。
12月中旬,在公布Excel和PowerPoint等Office软件含有可能被黑客利用发起攻击的漏洞后,微软再次确认Word里有两个漏洞也可能被黑客利用,并发起“危害非常有限并且目的明确的攻击”。它向用户发出警告不仅仅要警惕陌生发件人邮件里附件,同时也要对来自熟悉发件人的、未经请求主动提供的附件保持足够的警觉。
微软的产品或许是最普遍的零时差攻击目标了,不过其它的常用软件也同样面临着受到攻击的危险。一月份研究人员公布了QuickTime播放程序里的一个漏洞, QuickTime在处理流媒体视频文件时可能让攻击者入侵并控制受害者的电脑。2006年11月份Adobe ActiveX浏览器控件的一个漏洞也会导致受害者电脑被黑客控制。
零时差攻击事件的涌现折射出每年公布的软件漏洞数目在不断地上升。据互联网安全机构Xforce所述,2006年软件开发者与研究人员发现了7247个软件漏洞,比起2005年多了整整39%。
但是,这些bug中的大多数不会被黑客利用并发起零时差攻击。软件公司经常收到用户反映的bug和程序崩溃的报告,并从中找到安全漏洞,然后在黑客利用这些漏洞发起攻击前就进行修复。如果其它安全专家发现了一个漏洞,他们(总之,大多数会是这样)会按照一套行业惯例——被称作“有道德地透露”——来处理,这套惯例是特别设计用来规避零时差攻击的。
在“有道德地透露”原则下,研究人员首先会与软件开发商联系并告知所发现的漏洞情况。开发商在补丁就绪前不会发布相关公告。最先发现漏洞且没有将其公布于众的研究人员会受到公司的信任。 但有时候研究人员对于软件开发商调查的进度过慢而感到不满,就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序,有些专家则谴责这种行为,认为这么做违背了行业惯例。
拥护这种行为的人们争辩说如果研究人员发现了漏洞,那么黑客们有可能也发现了。聪明的黑客会小范围、有目标地发起攻击,以避免引起生产商的注意而发布修补程序。不幸的是,大多数情况下,公布漏洞都会促成大规模的零时差攻击。
另一个倍受争议的行业惯例是“悬赏缉错”。有些组织,包括iDefense和3Com零时差攻击项目(ZDI),都会为向它们报告零时差攻击漏洞的研究人员支付一定的赏金。 比如iDefense就提供了8000美元的资金,悬赏能提供IE 7浏览器和Vista系统漏洞的人。然后这些安全公司会向软件开发公司坦诚相告所知的信息。尽管得到大众的钦佩,但提供这些漏洞信息并没能使研究人员赚到多少钱——大部分人都希望能从中捞上一笔,但得到的结果通常是软件开发商的几句感谢之辞。
或许更重要的是,安全公司的赏金与地下黑市正在为零时差攻击而开展着竞争。趋势科技的Genes注意到的那位在聊天室里贩卖Vista漏洞的家伙现在有可能已经找到,或者还没有找到一位愿意支付5万美元的买家,但据eWeek.com网的报告与安全公司所说,在相关的bug信息以可观的4000美元卖出后不久,针对Windows图元文件的攻击就立即猖獗起来。
要找到能卖得出去的漏洞,研究人员与黑客会使用一种叫做fuzzer的工具软件来找出软件在何处接受信息输入,然后它会系统地输入一些奇怪信息的组合。通常这种测试找出来的漏洞叫做缓冲区溢出。
包括微软在内的软件公司通常使用工具软件来寻找自家软件里的漏洞。而黑客们也会这么做。BlackHat组织者Moss和许多其它专家们认为东欧那些有组织的网络罪犯,训练有素的中国黑客,还有其它不怀好意的人都会使用fuzzer来寻找有价值的可以用来发起零时差攻击的漏洞。发现漏洞的人能够用它来发起攻击,或者,与上面提到的WMF文件漏洞一样,可以把漏洞信息拿到黑市去索价出售。
如果软件开发商能在攻击发生前及时修补好安全漏洞,那么公司的IT人员以及家庭用户都能及时升级电脑,在黑客发起攻击之前就做好保护。但一旦零时差攻击开始了,时钟就开始计时——有时候时钟要走上好一阵,急需的补丁才会发布。
根据赛门铁克的2006年互联网安全威胁报告,在2006年的前半年里,微软的Windows与红帽Linux都是开发补丁最快的收费操作系统,平均只需要13天。
但是在升级浏览器方面——尤其是当有零时差攻击已经发生的情况下——微软比苹果、Mozilla和Opera的反应速度都要慢。IE浏览器的补丁在漏洞公布的10天后才会发布,而Opera,Mozilla和Safari浏览器打上补丁的时间,分别只需要两天、三天和五天。
Adam Shostack,微软安全开发生命周期小组的一位程序经理,说有时候更短的开发时限只会是设想,他提到微软用户构成的复杂性。
“我们必须测试安全升级程序以确保它能兼容于28种不同语言的操作系统,以及每一种支持这个升级程序的操作系统。”Shostack说。“我们真的是在质量与速度中做出取舍与平衡。”
安全软件有助于在有效的补丁发布前保护系统不受未知威胁的攻击,传统的反病毒软件依赖于病毒定义文件才能对攻击起到保护作用。这让恶意软件的作者永远与安全公司在玩一个猫和老鼠的游戏,黑客们散布修改过的,没有包括在病毒定义文件里的木马程序,反病毒软件则对这些木马程序束手无策。
启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏。这两种病毒分析方式依靠运算法则,而不是病毒定义文件,去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为,比如与内存有关的可疑行为。而另一方面,基于行为的病毒分析,观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件),它鉴定程序是否有害是看它们做什么而不是包含什么。
现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年,PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。
不过启发式与基于行为的病毒分析容易引起误报。安全软件或许无法分辨出键盘记录程序与通过直接敲击键盘来减短响应时间的游戏之间的区别。结果就是,软件不停地跳出许多不必要的弹出式警告与操作询问,让用户烦恼不已。
BlackHat的Jeff Moss估计这两种病毒检测方式在五年内不会被单独应用,通过病毒定义文件来查毒目前依然是最可靠的。“它们的误报与漏报率太高了。每个人对于检测失误都有自己奇怪的解决方法,但只要他们试着进行部署,用户就会开始抱怨。”其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁,并限制着攻击者成功入侵后带来的伤害。有些(比如GreenBorder Pro)为常常成为攻击目标的软件,比如网络浏览器与电邮客户端,创建出一个“沙盒”,或者称虚拟的被隔绝的环境。举个例子来说,攻击者也许可以攻破IE浏览器,但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。
其它一些程序,除了创建虚拟环境以外,还修改用户帐号的权限,这样程序就无法对系统做出深层的改变。这类工具包括微软提供的免费的DropMyRights小程序。
还有些程序,如免费的VMWare 播放器,会安装一个单独的操作系统并拥有它自己的浏览器。被层层保护着的浏览器与你正常的电脑环境是完全隔离开的。
Windows Vista引入了一些新的安全特性,但没有人会认为软件漏洞或者零时差攻击会渐渐地销声匿迹。.遗憾的是,充斥着非法数据与垃圾邮件发送者名单的地下黑市将刺激网络罪犯们继续想方设法从恶意软件里获得利益。
然而,趋势科技全球教育主管David Perry对于未来的互联网安全状态还是维持乐观的态度。“我相信最终我们会让网络上的威胁只是件麻烦事而已,”,他说,“但在今年内还看不到事情的进展。”
零时差攻击正在进行时
去年九月SunbeltSoftware发现了利用矢量标记语言图像里的一个漏洞发起的攻击,这种图像格式已经比较少见,但Windows系统依然对其提供着支持。在一星期内,攻击者通过植入了病毒的图片感染了数千个网站,所有不幸查看了这些图片的用户都会被偷偷地装上恶意软件并受到攻击。
2006年9月18日,第一个VML攻击被俄罗斯的一家网站报道。
2006年9月19日,微软表示补丁将在10月10日推出。
2006年9月20日,赛门铁克公司宣布在东欧销售的一款开发工具包中发现了恶意代码。
2006年9月22日,零时差紧急响应小组发布了一个非官方的补丁。成千上万的合法的、但是被感染的HostGator托管网站让他们的网友感染了病毒。
2006年9月26日,微软提前时间表两周的时间发布了补丁。
2007年1月16日,iDefense公司证实一个相似的零时差攻击已经盯上了VML的另一个漏洞。
来自Doc文档的攻击
2006年5月21日,中国大陆及中国台湾省都发生了有明确目标的攻击事件,被黑客利用的是一个Microsoft Word bug(2006年公布的能发起零时差攻击的Office漏洞之一),黑客们攻击了一家名称不详的公司。根据互联网风暴中心的消息,攻击者发送了伪装成发送自公司内部的邮件,毫无戒备之心的雇员打开了感染了病毒的附件。
Vista如何防范零时差攻击
Windows?Vista那些大受吹捧的新安全特性在保护你免受零时差攻击方面做得怎么样呢?比你想象的要好得多。
Vista主要的新特性就是用户帐户控制(UAC),在Vista里改变了用户帐户的操作许可权限。为了方便起见——因为管理员权限在进行许多系统操作时都是必需的——几乎所有的家庭用户都在管理员帐户设置下运行Windows XP。但攻击者也会利用此设置的特权来修改系统,例如安装含有恶意软件的rootkit。
与从前不同的是,默认的Vista用户帐户拥有的权限不高也不低,既不是可以对系统做任何修改的管理员帐户,也不是运行起来处处受缚的guest帐户。微软尝试着让改变易于被人们接受,授予了标准帐户足够的权限来操作一些日常的系统任务,比如安装打印机的驱动程序。但已经有用户抱怨道需要不停地确认一个又一个索要管理员密码的UAC弹出提示框。
同样,IE浏览器默认也是以受保护模式运行,此时只拥有最少的许可权限。这样的改变限制了一些零时差攻击劫持你的IE浏览器(比如利用WMF或者VML漏洞),并对电脑造成太大的破坏。
最后一点,Vista与Windows Defender是捆绑发行的,后者可以阻止试图向启动文件夹添加自启动项的恶意软件——比如,把自己伪装成反间谍软件等。Vista同时还会随机改变内存库与程序载入的位置,这样恶意软件在试图找出并更改系统重要进程时就会扑了个空。
遭到入侵的Myspace
2005年9月28日,与后来出现的VML攻击类似的,微软几乎很少被使用到的Windows图元文件格式里发现了一个漏洞,当用户浏览含有中毒图像的网页时,就会被植入恶意程序。微软在1月5日发布了一个补丁,但7月份一个含有恶意代码的旗帜广告感染了数百万尚未打上补丁的电脑,这些电脑访问了MySpace,Webshots和其一些它网站。
零时差攻击是发现软件漏洞后,在软件生产商尚没有发布修复补丁之前,利用漏洞发起的攻击。不过即使是在这段时间里,你也有办法保护你的系统安全而不会受到零时差攻击。
1. 停止使用IE 6。为了确保网上的安全,你首先应该停止使用微软声名狼籍、满是漏洞的IE 6浏览器。当然了,没有绝对安全的程序,但不管是因为它那些固有的漏洞还是因为巨大的用户群,IE 6都是一个易受攻击的目标。升级到IE 7或者选用其它浏览器比如Firefox或者Opera。
2. 对于某些已经成为零时差攻击目标的软件,你可以试试使用它们的替代软件。例如,用来查看PDF文档的免费Foxit程序,而OpenOffice能兼容许多Office文档。
3. 为Windows和其它程序启用自动更新功能。补丁并不能阻止零时差攻击的入侵,但大多数的漏洞在补丁发布后依然会是攻击目标,正因为攻击者知道许多人不会费心去打补丁。要检查和更改你的Windows系统的自动更新设置,在控制面板里点自动更新。我们推荐你选择“下载更新,但由我来决定什么时候安装”。
启动其它程序的自动更新设置则难易各有不同。以Firefox为例来说,选择工具 — 选项 — 高级,然后选择“升级”标签。(重申一次,我们推荐选择在Firefox发现更新后“询问我该做什么”)。要找到Adobe Reader里的升级设置,你可以从帮助菜单栏里进行手动更新,或者依次选择编辑 — 首选项,然后选中“启动”标签,在“显示消息和自动更新”前打上勾。
4. 考虑选择带有启发式查毒和/或基于行为分析病毒的反病毒软件或者安全套件来保护你的电脑,让它能自如地应对未知危险。拥有这两种病毒分析方式的程序是对传统反病毒软件的一个补充,传统的反病毒软件在能抵御某种威胁前必须对它比较清楚。
5.确保有一个防火墙——无论是Windows XP自带的,还是第三方的——运行在你的电脑上。防火墙能阻止蠕虫扫描你的电脑,寻找未打好补丁的漏洞,并试图入侵你的系统。要查看系统是否运行着Windows XP防火墙,进入控制面板,打开安全中心,点Windows 防火墙链接。大多数的宽带路由路也带有防火墙功能。
6. 使用防护软件做为反病毒软件或安全套件的有效补充,比如DropMyRights。越来越多的工具软件,既有免费的也有收费的,籍由改变易受攻击软件的运行方式来保护电脑的安全,这样即使受到了零时差攻击,也不会伤害甚至是传播到电脑的其它位置。
7. 时刻关注最新情况。为您传递最新的紧急威胁,还有各种安全知识与建议。其它有用的资源包括eEye 零时差攻击追踪网站(find.pcworld.com/56226)和Brian Krebs的安全修补博客。